‘Samsung OTA Software Update’ in Play Store zorgt voor verwarring

Samsung OTA Software Update

De afgelopen week waren er verschillende meldingen over een applicatie die afkomstig zou zijn van Samsung. Deze applicatie werd automatisch via de Google Play Store geïnstalleerd, maar zag er niet echt betrouwbaar uit. Er zijn verschillende redenen te noemen waarom bij veel mensen direct alarmbellen afgingen.

Ten eerste is de titel van de app in het Koreaans, waardoor niet direct duidelijk is waar het om gaat. Ten tweede wordt de applicatie gepubliceerd door ‘Samsung OTA Software Update’, een naam die past bij makers van kwaadaardige apps. Ten derde is de omschrijving van de app automatisch vertaald, waardoor het gebrekkige Nederlands doet vermoeden dat het om een niet-legitieme app gaat. Ook de Engelse vertaling bevat spelfouten. 

Afbeelding via: @Jansen_kansen

Hoe weten we dat de app te vertrouwen is?

Ondanks dat de app op bijna elke mogelijke manier op malware lijkt, is deze wél te vertrouwen. Dit kunnen we aan een paar dingen zien. De eerste is dat de app, waarvan de Engelse naam ‘Security Policy Updates’ is, een door Samsung voorgeïnstalleerde applicatie is. In de Play Store zien we dat aan het feit dat er geen ‘verwijderen’-knop is. Het is alleen mogelijk de app te updaten via de Play Store, verwijderen is niet mogelijk, zoals bij alle voorgeïnstalleerde apps. 

De tweede reden waaraan we kunnen zien dat de app afkomstig is van Samsung en niet van malware-makers, is dat het e-mailadres van de ontwikkelaar een @samsung.com-account is. De e-mailadressen van ontwikkelaars worden door Google geverifieerd en het is wel héél erg onwaarschijnlijk dat malwaremakers een dergelijk adres hebben.

De derde reden is dat applicaties, zoals dit soort systeemapplicaties (voorgeïnstalleerde apps), op Android alleen kunnen worden geüpdatet als de digitale handtekening klopt. Dat houdt in dat wanneer het zou gaan om een kwaadaardige app, deze niet als update geïnstalleerd zou kunnen worden. Er waren in het verleden wel problemen met de controle van digitale handtekeningen op Android, maar alle updates die via de Google Play Store geïnstalleerd worden, zijn vrij van deze problemen. Wanneer de update van een malware-maker zou komen, zou de installatie van de update een foutmelding geven. 

De onduidelijkheid rondom de app is een opeenstapeling van factoren. Doordat Samsung verschillende applicaties uitbrengt in de Google Play Store onder verschillende namen, zoals Samsung Electronics Co, Samsung Electronics TV en Samsung Media Solution Center, is voor de gebruiker niet direct duidelijk dat deze app wel daadwerkelijk afkomstig is van Samsung. Daarnaast wekt de gebrekkige vertaling en onduidelijke uitleg van de inhoud van de app ook zeker geen vertrouwen. 

Wat te doen?

Deze applicatie kan gewoon geüpdatet worden via de Google Play Store. De beveiliging van de Play Store zorgt er voor dat een bestaande applicatie, zoals deze ‘Security Policy Updates’-app alleen geüpdatet kan worden als de digitale handtekening van de app klopt. 

Maar, wat doet de applicatie nu precies en waarom het belangrijk is om deze te updaten? Samsung maakt net als alle Android-toestellen gebruik van een beveiligingsmethode die SELinux heet. SE staat hierbij voor ‘Security Enhanced’. Applicaties op Android draaien in een eigen, afgebakende omgeving, om er voor te zorgen dat ze niet bij gegevens, bijvoorbeeld foto’s en andere gevoelige informatie, kunnen komen. De rechten die apps hebben, zijn volledig afgebakend en het is dan ook niet de bedoeling dat ze uit hun eigen omgeving komen.

Wanneer apps wél uit die omgeving weten te komen, bijvoorbeeld door een beveiligingslek, is er nog een vangnet dat gebruik maakt van SELinux. Dit systeem werkt met definities waarin vastgelegd wordt welke apps wat precies mogen. Door deze definities actueel te houden, kunnen ook nieuwe bedreigingen beter worden afgevangen. Samsung gebruikt de app Security Policy Updates om deze definities up-to-date te houden.

De conclusie is dus dat de applicatie legitiem is, ondanks dat bijna alles het tegengestelde doet vermoeden. 

Via: Twitter