Android gebruiken is als wandelen door een mijnenveld. Je weet nooit waar het kan ontploffen. Op het eerste gezicht lijkt het besturingssysteem zelfs heel vriendelijk en functioneel, maar als je het begint te begrijpen, kun je zoveel bugs en kwetsbaarheden vinden dat je je smartphone in een la wilt verbergen en hem nooit meer wilt gebruiken. De meesten hebben natuurlijk niet eens het vermoeden dat er iets mis is met hun apparaten en leven volgens het principe “ik weet het niet, betekent nee”. Maar hierdoor verdwijnt het gevaar van alle storingen in Android niet. Voor voorbeelden hoef je niet ver te gaan.
Je hebt waarschijnlijk gemerkt dat veel Android-apps kunnen worden bijgewerkt zonder via Google Play te gaan. Google heeft deze functie speciaal voor ontwikkelaars toegevoegd, zodat gebruikers die automatisch bijwerken hebben uitgeschakeld, de nieuwste versies kunnen ontvangen wanneer ze inloggen bij de app. Helaas werd er een bug ontdekt in dit mechanisme, waardoor, samen met updates, kwaadaardige modules konden worden gedownload naar de apparaten van gebruikers die vertrouwelijke gegevens konden stelen van andere applicaties waarvan de makers niets te maken hadden.
Android-bug
Volgens Oversecured-onderzoekers zal het voor aanvallers vrij eenvoudig zijn om de betreffende bug te misbruiken. Ze hebben speciaal een experimenteel programma gemaakt van verschillende regels code en hebben het een update gestuurd met een kwaadaardige module die is gericht op het stelen van gegevens van Google Chrome. De ingebouwde beveiligingshulpmiddelen sloegen de update over en vermoedden er niets vreemds aan. Als gevolg hiervan werden alle browsergegevens gestolen zonder Android-interferentie.
Met behulp van deze kwaadaardige modules kunt u de volgende soorten gegevens stelen:
LoginsWachtwoordenSMS-berichtenAutorisatiecodesBankkaartgegevensPIN-codesFoto’sCorrect in instant messagingKalendergegevens
Dat wil zeggen, deze lijst bevat al die gegevens die enige significante waarde hebben voor gebruikers. Daarom was het gevaar van de Android-bug extreem hoog.
Android-update
Hoewel de bug waarmee het ingebouwde updatemechanisme kon worden misbruikt dit voorjaar is verholpen, had dit blijkbaar alleen betrekking op compatibele apparaten. Er zijn in ieder geval geen speciale updates voor oudere smartphones, waarvan de ondersteuning recentelijk al is beëindigd, behalve de update voor de vijf jaar oude Huawei Mate 9. Maar voor zover kan worden beoordeeld aan de hand van de samenstelling van de patch, was deze uitsluitend gericht op het uitbreiden van het functionele bereik van de smartphone in plaats van het oplossen van kwetsbaarheden.
Welke conclusie kan hieruit worden getrokken? Een groot aantal Android-apparaten is nog steeds kwetsbaar voor deze bug. Natuurlijk raadde Google ontwikkelaars aan om de softwaresamenstelling van hun apps te wijzigen om ze te beschermen tegen het misbruiken van een bug en het mogelijk exfiltreren van gevoelige gegevens, maar ik zou niet op hun snelheid rekenen. De praktijk leert dat de meeste studio’s zich niets aantrekken van Google-verzoeken, als hun falen niet dreigt de applicatie van Google Play te verwijderen.
