De afgelopen maand heeft Rafay Baloch, een beveiligingsonderzoeker, twee hardnekkige kwetsbaarheden in de ingebouwde webbrowser van Android-apparaten onderzocht, en de beveiligingsleverancier Lookout heeft een onderzoek uitgevoerd dat alarmerende gegevens aangeeft: bijna de helft of 45 procent van de apparaten in bedrijf. Het mobiele besturingssysteem van Google is gevoelig voor de fout.
Beveiligingsexperts zeggen dat de browserfout, verwijzend naar de Android Open Source Project-browser, aanvallers in staat stelt om de fundamentele beveiligingsperimeter te omzeilen, een beleid van dezelfde oorsprong dat inherent is aan alle browsers. Hoe werkt SOP? De beveiligingstool zorgt ervoor dat scripts van een bepaald domein geen interactie hebben met informatie die vanuit een ander domein is geüpload.
Anders kunnen hackers een nauwelijks waarneembaar iframe van populaire pagina’s zoals Facebook of Google maken en nietsvermoedende gebruikers verleiden om die pagina’s te bezoeken, zodat ze hun snode plan kunnen uitvoeren. Ze kunnen vervolgens uw sessie op een specifieke website kapen, waardoor aanvallers uiteindelijk de mogelijkheid krijgen om uw sessiegegevens te bekijken, zoals e-mailinhoud en Facebook-berichten, of andere privé-inhoud.
Volgens Baloch omvatten de versies van Android die getroffen zijn door de SOP-kwetsbaarheden die van vóór Android 4.4, dat volgens Google 75 procent van alle Android-apparaten wereldwijd uitmaakt. De Android 4.4-uitzondering is te wijten aan het feit dat de standaardbrowser Google Chrome is in plaats van de AOSP die in eerdere versies van het besturingssysteem werd gevonden.
Gelukkig is het probleem niet zo alarmerend omdat Google al fixes voor die kwetsbaarheden heeft geïmplementeerd. Het enige resterende probleem is nu hoe elke apparaatverkoper die patches op hun respectieve producten zou toepassen.
Maar aangezien Android-firmware-updates variëren, afhankelijk van de fabrikant, het apparaat in kwestie en het land, zal het zeker een zware taak zijn. Lokale providers in elk land hebben ook werk te doen om de updates via de ether te verspreiden.
Lookout heeft ook gegevens vrijgegeven over de twee kwetsbaarheden die het bedrijf van over de hele wereld heeft verzameld. In Japan is 81 procent van de Lookout-gebruikers kwetsbaar voor de AOSP-bypassfout en deze is momenteel geïnstalleerd op hun mobiele apparaten. In de VS heeft slechts 34 procent de kwetsbare versie van de software op hun apparaten geïnstalleerd, terwijl 51 procent in het VK.
De inconsistente verspreiding van de AOSP-kwetsbaarheid is behoorlijk verontrustend, maar kan volgens Lookout worden toegeschreven aan minder frequente release van updates in sommige gebieden.
