Dit artikel is onderdeel van een tweedelige serie over de verzameling van beveiligingstools die Google het ‘Android Safety Net’ noemt. Deel twee volgt dit weekend.
Niet gemaakt om veilig te zijn?
Android heeft een uitgebreid beveiligingssysteem dat opgebouwd is uit verschillende lagen. Het besturingssysteem heeft wel de schijn al tegen: het is een open systeem, waardoor kwaadwillenden eenvoudig op zoek zouden kunnen naar beveiligingsproblemen. Dat leek zelfs Androidbaas Sundar Pichai te willen zeggen toen er een artikel verscheen dat een citaat van hem bevatte met de strekking: Android is ontworpen om open te zijn, niet veilig. Achteraf bleek dat de (toevalligerwijze normaliter iOS-)verslaggever hem volledig verkeerd geciteerd had.
Pichai zegt dat Android juist door zijn openheid veilig is. Iedere beveiligingsonderzoeker kan de broncode van Android inzien en eventuele problemen melden aan Google. Voor het melden van grote problemen wordt zelfs een beloning gegeven.
Beveiliging op Android
De beveiliging op Android begint al op applicatieniveau. Applicaties worden in zogenaamde ‘zandbakken’ (sandboxes) geïnstalleerd. Dat houdt in dat ze in hun eigen ‘wereldje’ draaien en geen toegang hebben tot andere apps. Wanneer een applicatie met het systeem moet communiceren, bijvoorbeeld om de GPS-positie uit te lezen, dan moet een applicatie daar toestemming voor hebben gevraagd.
In Android 4.4 is de beveiliging van deze sandboxes aangescherpt. Door het door de NSA ontwikkelde principe van SELinux (Security Enhanced Linux) toe te passen, krijgen kwaadwillende applicaties zelfs als ze uit de sandbox gekomen zijn, nog geen toegang tot andere apps en gegevens.
Applicaties die in de Google Play Store staan, worden in tegenstelling tot iOS-apps niet handmatig gecontroleerd. Wél is er een onzichtbare beveiligingsmethode actief voor de Play Store. Google liet begin 2012 weten een malwarescanner te gebruiken voor de Google Play Store. Het was ons al eerder opgevallen dat na het uploaden van een applicatie in de Google Play Store deze niet onmiddellijk online kwam. Dat duurt inmiddels ongeveer twee uur en dat komt omdat apps eerst gescand worden met ‘Bouncer’.
Naast het vooraf controleren op bekende malware worden applicaties in de Play Store ook nog in de gaten gehouden. De apps worden op virtuele toestellen geïnstalleerd en worden gedraaid zodat kan worden gecontroleerd of deze vreemde activiteiten vertonen. Ook applicaties die van buiten de Google Play Store worden geïnstalleerd kunnen op malware worden gecontroleerd. Daarvoor moet de gebruiker uiteraard wel toestemming geven. Deze scanner werkt via de Google Play Store-applicatie en maakt gebruikt van gegevens die Google zelf heeft verzameld door applicaties uit allerlei (al dan niet verdachte) bronnen te draaien.
Masterkey
Vorig jaar werd de Androidwereld opgeschrikt door een relatief groot beveiligingslek. Applicaties worden ondertekend met een digitale handtekening. Dit is een combinatie van een ‘samenvatting’ van wat er in de app te vinden is en een sleutel (key) van de ontwikkelaar of uitgever. Wanneer je wijzigingen aan een app zou aanbrengen, bijvoorbeeld door er kwaadaardige software in te verwerken, is de handtekening ongeldig, omdat de samenvatting niet meer klopt.
De bug van vorig jaar zorgde er voor dat kwaadwillenden een applicatie zouden kunnen veranderen, zonder dat het Androidsysteem in de gaten had dat de inhoud veranderd was. Deze fout werd de ‘Masterkey exploit’ genoemd. Deze naam komt van het feit dat de apps ondertekend worden met een key van de fabrikant (zeg een Samsung of een HTC) of Google zelf veel meer rechten hebben dan andere apps. Door een installatiebestand voor bijvoorbeeld Gmail aan te passen heb je dan bijna alle rechten op een Androidsysteem, zonder dat de foute ‘samenvatting’ gedetecteerd zou worden.
Achteraf bleek dat de mogelijkheden voor het benutten van deze problemen nogal beperkt waren, vooral door de snelle reactie van Google. De tijdlijn die je onderaan dit stukje vindt, geeft weer wat er precies gebeurd is. Al op 18 februari werd Google op de hoogte gesteld van de fout. Een dag later was de Google Play Store reeds beschermd en werd de digitale handtekening van apps op een andere manier gecontroleerd. Applicaties van buiten de Play Store konden echter nog steeds de kwetsbaarheid misbruiken. Op 3 mei werd daarom een update beschikbaar gesteld voor fabrikanten die Androidtoestellen maken. Ook in mei werd de malwarescanner in de Google Play Store zelf aangepast, waardoor ook apps die van buiten de Play Store werden geïnstalleerd (maar wél door Google gecontroleerd werden) veilig waren. Er waren echter nog geen pogingen om het lek te misbruiken.
In juni kregen de eerste Androidapparaten een update die de problemen verhielpen. Daarna werd op 3 juli de kwetsbaarheid gepubliceerd en was volgens Google op 8 juli pas de eerste poging om het lek te misbruiken. Op 8 augustus 2013 waren er minder dan 8 pogingen om het lek te misbruiken per 1 miljoen installaties. Een jaar na het bekendmaken van het lek (op 18 februari 2014) zijn er nog steeds 35 pogingen per miljoen installaties om het lek te misbruiken. Daarbij gaat het niet per se om voor de gebruiker kwaadaardige software, maar om voornamelijk om cracks voor betaalde games.
Meer over het beveiligingslek vind je hier.
Nieuwe beveiliging
Applicaties worden dus door Google gescand. Eerst voordat ze beschikbaar worden gemaakt in de Google Play Store. Daarnaast worden ze nog getest op vreemd gedrag op de virtuele apparaten van Google. Daarnaast worden apps die buiten de Play Store om geïnstalleerd worden ook door Google gecontroleerd, mocht je dat willen. Google gaat echter nog een extra laag toevoegen. Deze zal apps nádat ze geïnstalleerd zijn ook nog in de gaten houden. Eigenlijk gebeurt er hetzelfde als Google met zijn virtuele apparaten doet: er wordt gekeken of apps contact zoeken met servers die bekend staan als bronnen van malware en andere verdachte zaken.
Met de nieuwe beveiligingslaag moet Android nog veiliger worden. In deel twee van deze serie lees je onder andere hoeveel malware de Androidgebruiker nu daadwerkelijk bereikt en wat de schade is.
Bron: Computerworld, Networkworld, Google
Reacties
Inloggen of registreren
om een reactie achter te laten
De wereld hangt van list en bedrog aan elkaar. Goed dat dit naar boven komt. Goed werk van AW.
Nu wordt een virusscanner dus helemaal overbodig voor Android?
Zo te zien zijn de NSA en Google grote vriendjes…
9to5Mac heeft hun artikel niet gerectificeerd, maar verwijderd. Minder klasse, maar te verwachten.
Mooi geschreven Artikel. Top Sander.
Ik krijg weer de melding dat het artikel niet geladen kan worden, was laatst ook al…