Het is gebruikelijk dat een bepaalde beveiligingsfout slechts één besturingssysteem tegelijk treft, maar een nieuwe bevinding van onderzoekers van de University of California en de University of Michigan toont een enorme kwetsbaarheid aan in Android-, Windows- en iOS-besturingssystemen.
Dit betekent dat miljoenen applicaties binnen die ecosystemen potentieel kunnen worden blootgesteld aan compromissen als ze onbeheerd worden achtergelaten. Dat draagt bij aan de risico’s die kunnen leiden tot gegevensdiefstal als aanvallers knoeien met kwaadaardige apps.
Hoewel de onderzoekers de beveiligingstests uitvoerden op een op Android gebaseerd mobiel apparaat, ontdekten ze ook dat de aanvalsmethode van toepassing is op Windows Phone- en iOS-besturingssystemen. De gelijkenis van de aanvalsmethode op verschillende platforms kan worden toegeschreven aan het vermogen van applicaties om toegang te krijgen tot een mobiel apparaat om gevoelige informatie uit het gedeelde geheugen te verzamelen.
De onderzoekers gebruikten een veelvoorkomend scenario om te zien hoe de aanval werkt. Eerst downloadde een gebruiker een willekeurige app, bijvoorbeeld een bureaubladachtergrondfoto. De onderzoekers maakten vervolgens gebruik van het openbare zijkanaal, dat het gedeelde geheugen van de download vertegenwoordigt. Dit gedeelde geheugen blijkt toegankelijk te zijn, zelfs met het ontbreken van applicatieprivileges.
De onderzoekers volgden vervolgens het gedeelde geheugen om de veranderingen te koppelen aan de activiteitstransitie. Dit bewaakt elke gebeurtenis die een gebruiker in een toepassing uitvoert. Dus wanneer een gebruiker zich aanmeldt bij Gmail of een online bankrekening, zijn de details van die activiteit hoogstwaarschijnlijk gecontroleerd.
Om de aanval te laten slagen, moet aan bepaalde vereisten worden voldaan. Ten eerste moeten aanvallers de aanval in realtime uitvoeren om het moment vast te leggen dat een potentieel slachtoffer inlogt op een online account op sociale media of productiviteitssoftwaretools. De aanvaller moet er dan voor zorgen dat de hack op het juiste moment voor de radar van de gebruiker verborgen blijft.
De onderzoekers ontdekten dat deze methode meestal succesvol was tijdens hun tests. Ze waren ook in staat om de testtruc met succes uit te voeren in Gmail. De methode faalde echter meestal toen deze op Amazon werd getest. Dit komt door de soepele overgang van systeemactiviteiten van de ene gebeurtenis naar de andere, waardoor het voor aanvallers moeilijk is om een aanval uit te voeren.
Nogmaals, tijd is hier de sleutel voor de hacker. Daarom kan worden gezegd dat Android het voor aanvallers gemakkelijk maakt om de aanval uit te voeren vanwege het gemak waarmee de timing van de aanval dit op dit platform zou kunnen doen.
Gebruikers van dit platform wordt geadviseerd geen apps van externe winkels te installeren.
