Google heeft deze week de nieuwste Androidversie officieel aangekondigd en beschikbaar gesteld voor zijn Pixeltelefoons. Andere fabrikanten moeten de update nog uitrollen, maar wellicht kunnen ze daar beter nog even mee wachten. Hackers hebben volgens een securitybedrijf namelijk al een nieuwe beveiligingsmaatregel in Android 13 weten te omzeilen.
Toegankelijkheid in Android
Het is wederom de toegankelijkheidsfunctionaliteit (Accessibility Service) in Android waar deze malwaremakers misbruik van hebben gemaakt. Dat zegt securitybedrijf ThreatFabric. Deze functie is bedoeld voor mensen met een visuele beperking. Android kan hierdoor bijvoorbeeld tekst hardop voorlezen en spraak uitschrijven in tekst, waardoor de drempel voor het gebruik van mobiele telefoons voor slechtziende gebruikers wordt verlaagd.
In 2017 nam Google al eens stappen om apps die voor andere redenen gebruik maken van deze mogelijkheid te weren uit de Play Store. Helaas wordt er nog steeds veel misbruik gemaakt van deze functie. “We worden geconfronteerd met een pandemie van Android-malware die toegankelijkheid misbruikt”, gaf securitybedrijf Security Research Labs vorig jaar nog aan. De misbruik is voornamelijk gericht op het stelen van bankgegevens.
Zo werkt het
De toegankelijkheidsfunctionaliteit bevat een overlay-functie die malwaremakers gebruiken om hun malware boven een andere app uit te voeren. Zo kunnen ze ingevoerde inloggegevens buitmaken. Een voorbeeld is SharkBot die een zogeheten “overlay-aanval” uitvoert zodra het een actieve bank-app detecteert. Het komt vervolgens met een scherm dat lijkt op dat van je bank, waardoor je zonder dat je er erg in hebt je inloggegevens invoert en die dus aan de hackers weggeeft. De hackers kunnen zo geld van je bankrekening halen. SharkBot is een trojan die zich nestelt in apps die in de Play Store staan en zo de beveiligingsmaatregelen van Google slim kan omzeilen.
Google heeft met Android 13 actie ondernomen om het aantal toestemmingen die apps vragen te beperken. In Android 13 zit nu een zogenaamde restricted setting waardoor apps die buiten de Play Store om gedownload zijn (ook wel sideloading genoemd), geen toegang tot de toegankelijkheidsfunctionaliteit kunnen vragen. Nu kunnen dit soort apps alsnog toestemming vragen door middel van een session-gebaseerde installatie. Er wordt als het ware een reguliere installatie via de Play Store nagebootst waardoor Android 13 deze niet als sideloading beschouwt.
ThreatFabric heeft al ontdekt dat de malwaremakers erg ver zijn met het misbruiken van deze functie in Android 13. Ze verwachten dat het niet lang meer duurt voordat de eerste banking trojan actief is op telefoons met Android 13.
Via Security.nl
Reacties
Inloggen of registreren
om een reactie achter te laten
En dat soort malware zorgt er dan voor dat een app als itsme met die toegankelijkheidsopties etc. in android schermt om hun app niet toegankelijker te maken voor mensen met een visuele beperking. De toegankelijkheidsopties zijn niet het probleem, wel het misbruik dat ervan gemaakt wordt door kwaadwillenden. En wie is er de dupe van? Uiteraard zijn ook de mensen die door de hackers gerold worden de klos, maar ook mensen met een visuele beperking die zulke toegankelijkheidsapps nodig hebben om hun smartphone te kunnen gebruiken en waar banken-apps bang voor zijn. Daardoor kan ik niet met itsme of de app van Fortis werken. Ik hoop dus dat Google dat achterpoortje dichttimmert, zodat die omzeiling via sessie-gerelatteerde installatie niet meer kan en dus de toegankelijkheidsopties niet langer misbruikt kunnen worden, zodat apps als itsme zich niet meer achter dat soort smoezen kunnen verstoppen om hun apps ontoegankelijk te houden.
Het probleem is ook de definitie van “toegankelijkheid”: ik vind een app ontoegankelijk als ik ‘m niet kan bedienen met talkback. Maar een slechtziend persoon die vergroting gebruikt, kan misschien wél doen wat ik niet kan binnen itsme. Als een invoervak b.v. niet zichtbaar is voor talkback of het klavier ontbreekt (zo laat talkback het pincodeveld niet zien en ook het klavier is niet zichtbaar zodat ik geen pincode kan ingeven) maar dit valt niet op als talkback etc. uitgeschakeld is, dan kan het zijn dat Google niet zomaar itsme etc. kan verbieden. Google moet beter z’n huiswerk maken, dat klopt, maar ik weet niet of een app als itsme aan allerlei voorwaarden moet voldoen voordat het de play store in mag.
Dan zal Google deze apps moet gaan weren in de Playstore, ik weet niet of het in hun Tos staat want dan kan het niet moeilijk zijn.
Er speelt alleen het eigen belang mee want zonder dit soort apps maken mensen de overstap naar Apple als het daar beter is. ?
Google moet inderdaad aan het werk, dat beaam ik volmondig. Maar het probleem zit ‘m ook in het feit dat itsme en dergelijke apps dit als excuus gebruiken om niks aan de toegankelijkheid van hun apps te doen.
Vervelend maar de hackers doen goed werk. Google moet aan het werk om dit beter te maken. Er zullen altijd mensen misbruik maken van anderen helaas. ?