Samsung Galaxy S24: nu met hoge korting én Galaxy Watch7 cadeau!

Beveiligingslek Android: tweede lek gevonden, gedicht

Sander Tuit
Sander Tuit
12 juli 2013, 21:36
5 min leestijd
Beveiligingslek Android: tweede lek gevonden, gedicht

Lees verder na de advertentie.

Beveiligingslek

Het beveiligingslek dat deze week bekend werd, heeft te maken met de manier waarop Android installatiebestanden controleert. Of je nu een applicatie haalt uit de Google Play Store of direct van de website van een leverancier: Android-apps zitten altijd in een installatiebestand, genaamd APK. Wanneer je een APK installeert, wordt er gecontroleerd of er niet met de app geknoeid is: naast de digitale handtekening van de fabrikant wordt er ook een digitale vingerafdruk gemaakt van het installatiebestand. Met deze digitale vingerafdruk blijkt iets mis te zijn: het is mogelijk om bestanden aan te passen zonder dat de vingerafdruk voor het systeem onjuist wordt. 

Wanneer kwaadwillenden een installatiebestand aanpassen, door er bijvoorbeeld malware in te zetten, zou Android normaal gesproken de installatie van de app af moeten breken: de digitale vingerafdruk zou immers niet meer kloppen. Deze week werd bekend dat beveiligingsbedrijf Bluebox een manier had gevonden om het installatiebestand aan te passen, zonder dat voor Android de vingerafdruk verandert. Een Chinese hackersgroep of hacker onder de naam Android Security Squad heeft een tweede gat gevonden in de controle van deze vingerafdrukken.

Twee lekken

Het eerste lek was eigenlijk vrij eenvoudig te misbruiken. Android neemt namelijk wel een digitale vingerafdruk van de bestanden in een installatiepakket af, maar doet dat blijkbaar slordig: het bleek mogelijk om extra bestanden toe te voegen aan een installatiebestand, als deze maar dezelfde naam heeft als een origineel bestand. Wanneer je dat extra bestand, bijvoorbeeld voorzien van kwaadaardige software, in het installatiepakket vóór het originele bestand opneemt, wordt alleen het originele bestand meegenomen in de vingerafdruk, waardoor er niets mis lijkt te zijn. 

Het lek dat door de Chinese onderzoeker(s) gevonden werd, kwam op een interessante manier aan het licht: Google maakte op 3 juli een aanpassing in het Android Open Source Project. In dit project is alle broncode van Android te vinden, op die van de Google-applicaties na. Deze verandering kreeg de volgende omschrijving:

Values in ZIP files are unsigned

Op basis van deze korte omschrijving en de verandering in de code wisten de Chinezen uit te vinden welk probleem opgelost wordt door deze verandering. Dit beveiligingsprobleem blijkt dus ook het vingerafdrukproces van Android te raken. Het blijkt mogelijk te zijn om op een specifieke plek in een installatiebestand bepaalde data toe te voegen. Aan het begin van een ingepakt bestand (zip-bestand) dat zich in een installatiebestand bevindt, wordt een getal opgegeven (een combinatie van de naam van het bestand en een extra waarde), waardoor het systeem weet hoeveel verder het moet kijken om bij de data in het bestand te komen. Het bleek mogelijk te zijn om aan dit getal een negatieve waarde te geven, waardoor het verborgen bestand overgeslagen werd in de scan. De wijziging die Google maakte, zorgt er voor dat dit getal alleen nog positieve waarden kan krijgen.

Gevaar

Het tweede lek is net zo gevaarlijk als het lek dat eerder aan het licht kwam. Net als voor het eerste lek, heeft Google ook voor het tweede lek een oplossing. Deze oplossing moet echter wel eerst door fabrikanten opgenomen worden in een update, voordat je toestel volledig beschermd is tegen misbruik van dit lek. Dat zal waarschijnlijk opnieuw leiden tot koppen als ‘opnieuw lek gevonden in 99% van alle Androidtoestellen’ en dat is misschien ook wel terecht. Aan de andere kant is het risico dat je loopt dat er misbruik gemaakt wordt van (één van deze twee) lekken minimaal. 

Dat het risico minimaal is, zullen we nog een keer uitleggen. Ten eerste zijn applicaties die je download via de Google Play Store vrij van misbruik van het eerste lek en gegeven het feit dat Google de code aangepast heeft in het Android Open Source Project, kunnen we er zeker van zijn dat applicaties in de Google Play Store ook vrij zijn van misbruik van het tweede lek. Daarnaast scant Google ook applicaties die niet in de Play Store te vinden zijn. Het bedrijf heeft al een tijd terug bekend gemaakt ook applicaties te downloaden van over het hele web, uit applicatiewinkels van derden en vermoedelijk zelfs illegale bronnen. In deze applicaties scant het bedrijf ook op malware, bijvoorbeeld malware die gebruik maakt van deze lekken. Met deze informatie wordt de scanner die in de Play Store zit aangepast. Deze malwarescanner is verborgen in de Play Store-applicatie op jouw toestel en werkt officieel pas vanaf Android 4.2. Google heeft hier echter een truc voor en gebruikt Google Play Services om ook op Android 2.2 bestanden te kunnen verifiëren en scannen. Meer informatie over hoe dit werkt kun je hier lezen. Wanneer je alleen applicaties of games installeert vanuit de Play Store, ben je 100% veilig voor deze lekken. Wanneer je applicaties ergens anders vandaan haalt maar laat verifiëren door Google Play Services of de Google Play Store, zul je ook veilig zijn voor dit lek. Op mensen na die de Play Store of Play Services niet laten verifiëren, zijn de enige mensen die wat dat betreft risico lopen op misbruik van één van deze twee lekken, mensen die een Androidversie lager dan Android 2.2 draaien (minder dan 2% van de actieve Androidapparaten) én applicaties van buiten de Play Store installeren. 

Scannen op kwetsbaarheid

Bluebox, het bedrijf dat in februari het eerste lek ontdekte, heeft een applicatie uitgebracht waarmee je kunt scannen of jouw toestel al veilig is voor misbruik van dit eerste lek. Deze applicatie is gratis en vind je hier. De applicatie scant ook of er applicaties zijn die op jouw toestel staan die misbruik maken van het lek. Google heeft deze week nog laten weten dat er geen applicaties in (én buiten!) de Play Store gevonden zijn die misbruik maken van het lek, dus is het niet erg waarschijnlijk dat de scanner iets vindt.

De scanner zal vermoedelijk misbruik van het tweede lek niet detecteren en is eigenlijk een verkapte publiciteitsstunt. Zeker aangezien bekend is dat alleen de Galaxy S4 op dit moment niet kwetsbaar is voor het lek én apps die vanuit de Play Store komen of die worden gecontroleerd via de Play Store (bijvoorbeeld via Google Play Services zoals hierboven beschreven) geen misbruik maken van het lek. 

Bron: Android Police

Lees meer over

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

7

Inloggen of registreren
om een reactie achter te laten

13 juli 2013, 20:31

@ Mark.

Gewoon appguard gebruiken.

13 juli 2013, 11:57

Ook al zijn de risico’s laag, opnieuw laat Google aan de telefoonfabrikanten en providers zien wat het belang is van de verspreiding van regelmatige updates. Jammer dat Google er voor alsnog weinig druk achter weet te zetten

13 juli 2013, 3:23

ik denk dat lookout gewoon erg streng is met bepaalde rechten van een app: wordfeud doet aan persoonlijke reclame, ook al is het indirect maar facebook werd niet gemeld. maar ik gebruik lookout niet meer, avg pro vind ik voldoende!

13 juli 2013, 2:28

@ Edwin. Ik heb dat ook met wordfeud en lookout.

13 juli 2013, 1:34

Ik krijg sinds vorige week de melding dat de gratis versie van wordfeud malware bevat. Ik maak gebruik van de virusscanner LookOut op een SG4. Zijn er anderen die dit ook hebben ondervonden?

13 juli 2013, 0:13

Ik haal met winzip altijd overbodige bestanden uit APKs, geen probleem

13 juli 2013, 0:05

Interessant, goed om te weten…