Beveiligingsexpert meldt ernstig lek in Androidbeveiliging

Beveiligingsexpert meldt ernstig lek in Androidbeveiliging

Android: One Root to Rule Them All

We zien wel vaker claims van 'beveiligingsexperts' die een lek gevonden hebben in Android dat eigenlijk helemaal niet zo schadelijk blijkt te zijn. Jeff Forristal is wel een onderzoeker die een behoorlijke reputatie heeft opgebouwd. Hij was namelijk, tenminste gedocumenteerd, de eerste die een 'responsible disclosure policy' instelde. Dat houdt in dat gevonden beveiligingslekken worden bekendgemaakt aan het grote publiek, maar dat bedrijven eerst de kans krijgen het lek te dichten. Daarnaast was hij, wederom gedocumenteerd, de eerste die aanvallen met SQL-injecties, een hack-methode, herkende.

De titel van zijn presentatie op de Black Hat-conferentie, een conferentie voor hackers en andere beveiligingsexperts, is 'Android: One Root to Rule Them All'. Echter, het lijkt niet per se te gaan om een nieuwe root-methode, een methode om administrator-rechten te krijgen, maar om een methode waarmee installatiebestanden voor Androidapplicaties kunnen worden aangepast.

APK-installatiebestanden

Android gebruikt installatiebestanden voor applicaties, genaamd APK's. Deze bestanden (Android application package) bevatten alles wat een applicatie nodig heeft: afbeeldingen, code en lay-outs. Om er voor te zorgen dat er niet met deze bestanden kan worden geknoeid, worden deze bestanden digitaal ondertekend. Ontwikkelaars gebruiken hiervoor een digitale handtekening.

Bij het digitaal ondertekenen worden ook specifieke kenmerken van de applicatie bekeken. Bij dit soort toepassingen is het gebruikelijk om te kijken naar de grootte van het bestand voor ondertekening en het maken van een soort digitale vingerafdruk van het bestand. Wanneer de handtekening wordt bekeken, is deze alleen geldig als ook de andere kenmerken van de app kloppen.

Forristal claimt dat hij een manier heeft gevonden om deze beveiliging te omzeilen. Hij geeft aan dat er problemen zitten in de manier waarop de gegevens worden gecontroleerd, waardoor het mogelijk is om de code van applicaties aan te passen, zonder dat er door het systeem bezwaar wordt gemaakt omdat er kenmerken niet kloppen. Als zijn bewering klopt, en gegeven zijn reputatie lijkt dat zeker niet onwaarschijnlijk, dan is dit een behoorlijk ernstig lek in de beveiliging van Android.

Gevolgen

Dat installatiebestanden aan kunnen worden gepast, zou voor een enorm beveiligingsrisico kunnen zorgen. Forristal geeft aan dat het aanpassen van APK-bestanden slechts een stap verwijderd is van het verkrijgen van volledige systeemtoegang. Kwaadwillenden zouden APK-bestanden kunnen voorzien van kwaadaardige software (malware) en installatie van deze bestanden zou geen belletje doen rinkelen: de digitale ondertekening van de applicatie zou namelijk lijken te kloppen.

Forristal zegt dat het lek van toepassing is op een groot aantal Androidapparaten met verschillende Androidversies, zonder dat dat aanpassingen voor hoeven worden gedaan of slechts kleine aanpassingen. Werkende voorbeelden zullen worden vrijgegeven voor toestellen van verschillende fabrikanten.

Lek gedicht?

Het is zeer waarschijnlijk dat het beveiligingslek inmiddels gedicht is in Android. Google neemt beveiligingsproblemen serieus en is pro-actief op zoek naar nieuwe gaten. Aangezien het lek al in februari gemeld is, lijkt het zo goed als zeker dat Google het lek boven heeft. Echter, de vraag is of het lek gedicht kan worden zonder softwareupdate. Het is mogelijk dat het probleem alleen verholpen kan worden door systeembestanden aan te passen, wat wil zeggen dat fabrikanten moeten zorgen voor een systeemupdate.

Google scant applicaties in de Google Play Store op kwaadaardige software. Ook worden applicaties in quarantaine gezet, om te kijken of ze toevallig rare dingen uit gaan halen. Applicaties die van buiten de Google Play Store gehaald worden, kunnen ook door de Google Play Store gescand worden. Deze scan is echter lang niet zo effectief, zo bewees afgelopen jaar een uitgebreid onderzoek. Het is goed mogelijk dat de malwarescanner van de Google Play Store inmiddels zo is aangepast dat het beveiligingslek dat door Forristal is aangekaart gedicht is.

Maatregelen

Vooralsnog is de beste maatregel die kunt nemen het alleen installeren van apps uit de Google Play Store. Deze zijn niet per definitie veilig, maar in ieder geval een stuk veiliger dan applicaties van buitenaf. Nu we op de hoogte zijn van dit (mogelijke) lek, is het ook belangrijk om op te merken dat updates voor officiële applicaties, zoals Gmail en Calendar en zelfs de Google Play Store, die gedownload zijn buiten de Google Play Store om niet per definitie veilig zijn. Voorheen gingen we er vanuit dat het bijna onmogelijk was om met dit soort updates, die voorzien zijn van een officiële digitale handtekening, te knoeien. Vermoedelijk zal Google nog voor de conferentie reageren op het lek.

Via: Android Police

Lees meer over:
Security

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties

Meest gelezen

Het zijn weer BTW-dagen bij MediaMarkt, sla je slag! (adv)

De BTW-dagen van MediaMarkt zijn legendarisch en heel erg populair. Van 24 januari tot en met 30 januari krijg je dikke korti...

AW Poll: Telefoonspelletjes? Een derde van de lezers heeft er 0 geïnstalleerd

Sudoku, Candy Crush, FarmVille, Call of Duty Mobile, Animal Crossing: er staan honderdduizenden games in Play Store. En toch...

WhatsApp chats overzetten straks ook mogelijk van Android naar iOS

WhatsApp maakte het vorig jaar al mogelijk om je chats van iOS naar Android over te zetten, maar binnenkort kan het waarschi...

Nieuwe Suunto 5 Peak is superlicht en heeft een accuduur van 100 uur

De nieuwe Suunto 5 Peak is een van de lichtste GPS-sporthorloges van het bedrijf ooit en komt met tot 100 uur batterijduur, m...

Let op: Telegram bewaart oude profielfoto's, zo verwijder je ze

Telegram laat je uiteraard een profielfoto instellen die weergegeven wordt bij gesprekken. Na verloop van tijd ben je wellich...

Garmin Venu 2(S) versus Garmin Venu 2 Plus: welke moet je kopen?

Garmins Venu 2-serie heeft uitbreiding gekregen in de vorm van de Garmin Venu 2 Plus. Je kan nu dus kiezen uit de Garmin Venu...

Philips Hue lanceert nieuwe tuinverlichting en effecten in de app

Philips Hue lanceert een nieuwe reeks slimme buitenverlichting. Er is een nieuwe 'Inara'-wandlamp en de 'Calla'-sokkellampen...

'Motorola Edge 30 Pro-renders: vlaggenschip met speels design'

Motorola is klaar om een nieuw vlaggenschip te lanceren: de Edge 30 Pro. Er zijn nu renders gelekt vlak voor de lancering. Mo...

Lees meer

Net binnen

Philips Hue lanceert nieuwe tuinverlichting en effecten in de app

Philips Hue lanceert een nieuwe reeks slimme buitenverlichting. Er is een nieuwe 'Inara'-wandlamp en de 'Calla'-sokkellampen...

Garmin Venu 2(S) versus Garmin Venu 2 Plus: welke moet je kopen?

Garmins Venu 2-serie heeft uitbreiding gekregen in de vorm van de Garmin Venu 2 Plus. Je kan nu dus kiezen uit de Garmin Venu...

WhatsApp chats overzetten straks ook mogelijk van Android naar iOS

WhatsApp maakte het vorig jaar al mogelijk om je chats van iOS naar Android over te zetten, maar binnenkort kan het waarschi...

Het zijn weer BTW-dagen bij MediaMarkt, sla je slag! (adv)

De BTW-dagen van MediaMarkt zijn legendarisch en heel erg populair. Van 24 januari tot en met 30 januari krijg je dikke korti...

Nieuwe Suunto 5 Peak is superlicht en heeft een accuduur van 100 uur

De nieuwe Suunto 5 Peak is een van de lichtste GPS-sporthorloges van het bedrijf ooit en komt met tot 100 uur batterijduur, m...

Lees meer