Beveiligingslek Android: reactie Google, nieuwe details

Wat is het gevaar?

Het beveiligingslek heeft te maken met de manier waarop Android installatiebestanden controleert. Of je nu een applicatie haalt uit de Google Play Store of direct van de website van een leverancier: Android-apps zitten altijd in een installatiebestand, genaamd APK. Wanneer je een APK installeert, wordt er gecontroleerd of er niet met de app geknoeid is: naast de digitale handtekening van de fabrikant wordt er ook een digitale vingerafdruk gemaakt van het installatiebestand. Met deze digitale vingerafdruk blijkt iets mis te zijn: het is mogelijk om bestanden aan te passen zonder dat de vingerafdruk voor het systeem onjuist wordt. 

Wanneer kwaadwillenden een installatiebestand aanpassen, door er bijvoorbeeld malware in te zetten, zou Android normaal gesproken de installatie van de app af moeten breken: de digitale vingerafdruk zou immers niet meer kloppen. Onderzoeker Forristal heeft een manier gevonden om het bestand tóch aan te passen zonder dat de digitale vingerafdruk als onjuist wordt herkend. 

In principe is dit verhaal niet heel erg schokkend: kwaadwillenden kunnen al lange tijd apps voorzien van malware en ze dan ondertekenen met hun eigen digitale handtekening. Google scant applicaties die in de Play Store te vinden zijn op dit soort malware en ook applicatiewinkels van derden (zoals de Amazon Appstore) worden in veel gevallen gecontroleerd. Het verschil met dit lek is dat dit lek voornamelijk uit te buiten is bij updates. Normaal gesproken zou een malwaremaker nooit een update voor een app kunnen gebruiken als middel om binnen te komen op een toestel: de digitale handtekening zou immers niet overeenkomen met de eerdere versie van de app, waarna het systeem alarm zou slaan. In het geval van het hier genoemde beveiligingslek is dat wél mogelijk en kan malware zich ook vermommen als update voor systeemsoftware. Aangezien apps van Google (en de toestelfabrikanten) meer rechten hebben dan normale applicaties, kan malware die als update voor systeemsoftware binnenkomt het hele systeem overnemen.

99% van de toestellen, of toch niet?

De onderzoekers van Bluebox, het beveiligingsbedrijf van Forristal, gaven aan dat alleen de Samsung Galaxy S4 niet kwetsbaar bleek voor het lek. 99% van de Androidtoestellen, namelijk alle (andere) toestellen op Android 1.6 en hoger, zouden wél kwetsbaar zijn. Het feit dat de Galaxy S4 niet kwetsbaar blijkt, duidde er op dat Google een oplossing heeft gevonden voor het probleem en gisteren heeft het bedrijf dat inderdaad bevestigd. 

Google had al eerder laten weten aan Forristal dat de Play Store aangepast was, waardoor het lek niet meer misbruikt kon worden door apps die in de Google Play Store te vinden zijn. Sterker nog, er zouden geen apps in de Play Store gevonden zijn die het lek misbruikten. Gisteren liet Google aan ZDNet weten dat het bedrijf aan zijn partners, de Androidfabrikanten, heeft laten weten hoe het lek gedicht moet worden. 

We weten dat het vaak veel te lang duurt voordat (beveiligings)updates de consument bereiken. Google is al op de hoogte van het beveiligingsprobleem sinds februari, dus waarom is er pas één toestel dat het lek dichtgetimmerd heeft? Dit heeft te maken met de lange tijd die het updateproces bij veel fabrikanten inneemt. Google heeft daar gelukkig wel een oplossing voor. Deze oplossing is tweezijdig. Ten eerste is de Play Store dichtgetimmerd wat betreft dit lek: applicaties de je vanuit de Play Store download, zijn gegarandeerd veilig met betrekking tot dit lek. Het tweede deel van de oplossing is dat Google aanbiedt om apps van buiten de Google Play Store ook controleert. Deze apps worden op Android 4.2, indien je dit toestaat, direct gecontroleerd door de Google Play Store. Op oudere Androidversies gebeurt dit door Google Play Services, een applicatie die automatisch geïnstalleerd wordt op Androidtoestellen met Android 2.2 of hoger. Hoe je je bestanden extra laat controleren, lees je hieronder. 

We hadden al het vermoeden dat Google op deze manier probeert zoveel mogelijk Androidapparaten te beschermen tegen dit lek, maar de bevestiging van Gina Scigliano, communicatiemanager voor Android bij Google, is erg belangrijk. Het is dan ook verbazingwekkend dat het zo lang heeft geduurd voordat Google meer duidelijkheid over het lek heeft gegeven, zeker aangezien de gevolgen van het lek grotendeels niet meer merkbaar zullen zijn. Zelfs in het gesprek met ZDNet zegt ze dat ‘Google geen officiële verklaring geeft’. Mede hierdoor werden de gevolgen van dit lek ernstig overschat: met de maatregelen die Google genomen heeft, zou slechts 1,5% van de toestellen nog kwetsbaar zijn voor het lek en 0% wanneer de eigenaren van een toestel met Android 2.1 of lager alleen apps installeren vanuit de Play Store. 

Opletten

Bij het installeren van installatiebestanden van buiten de Play Store is het belangrijk om Google deze bestanden alsnog te laten verifiëren, zodat je zeker bent dat er geen misbruik wordt gemaakt van dit lek. Op Androidapparaten met Android 4.2 of hoger schakel je ‘Instellingen–> Beveiliging–>  Apps verifiëren’ in en op apparaten met Android 2.2 tot 4.2 zorg je er voor dat Google Play Services geïnstalleerd is en kies je bij het installeren van een app voor ‘Verifiëren en installeren’.

Het is overigens ook uitermate belangrijk om zeker te weten dat je apps alleen uit betrouwbare bronnen download: de extra beveiligingscheck van Google houdt zeker niet alle malware tegen.  

Hier vind je meer informatie over het beveiligingslek. 

Bron: ZDNet