Door een beveiligingslek in Android was het mogelijk dat apps met malware zich voor konden doen als vertrouwde, legitieme apps. Zo konden aanvallers toegang krijgen tot alle toestelgegevens. Telefoons van onder andere Samsung en LG waren kwetsbaar. Wat was er aan de hand? Je leest het in dit artikel.
Het beveiligingslek is ontdekt door Google's Android Partner Vulnerability Initiative (APVI), en details zijn gedeeld via hun eigen weblog. Het is een nogal technisch verhaal, maar in de basis komt het neer op het volgende. Er zijn meerdere fabrikanten van smartphones waar besturingssysteem Android op draait, en van meerdere fabrikanten zijn de beveiligingssleutels gelekt.
Dit soort sleutels worden voor meerdere doeleinden gebruikt. Eén daarvan is het verifiëren van de legitimiteit van Android-versies die op een toestel staat. Maar – en dat is waar het in dit artikel om gaat – deze beveiligingssleutels worden óók gebruikt om apps te legitimeren, aldus 9to5Google.
Als een malware-app wordt voorzien van een beveiligingssleutel van een smartphonefabrikant, krijgen de ontwikkelaars van dit soort apps daarmee toegang tot véél meer rechten op systeemniveau dan gebruikelijk of überhaupt wenselijk of noodzakelijk is. En daarom horen dit soort beveiligingssleutels strikt geheim te blijven.
In de praktijk betekent dit dat hackers en andere kwaadwillenden via met malware besmette apps die voorzien zijn van zo'n beveiligingssleutel de volledige toegang tot geïnfecteerde toestellen konden krijgen. En dat hoeft niet per se via nieuwe of onbekende apps te gebeuren: een reeds gedownloade en geïnstalleerde app kan bij wijze van 'update' op een later moment van zowel malware als de correcte beveiligingssleutel worden voorzien, wat de kans op detectie kleiner maakt.
Het artikel gaat verder na onderstaande tweet.
Of hackers misbruik hebben gemaakt van de gelekte beveiligingssleutels, is eigenlijk niet helemaal duidelijk. Techblog Bleeping Computerstelt dat de Google-beveiligingsexpert die het lek heeft ontdekt weliswaar op een aantal voorbeelden is gestuit, maar over de mogelijke aard en omvang werd voor de rest niks gedeeld.
Ook is niet duidelijk hoe deze beveiligingssleutels op straat zijn komen te liggen: het zou kunnen gaan om een hack, of een kwaadwillende insider met toegang tot interne bedrijfssystemen heeft ze opzettelijk vrijgegeven.
Daarnaast is volgens Bleeping Computer niks bekend gemaakt over waar de van een legitieme beveiligingssleutels voorziene malware-apps precies zijn aangetroffen. Of ze in de Google Play Store stonden, via zogenaamde third-party stores zoals de Samsung Galaxy Store werden aangeboden of dat ze via phishing-achtige malafide sms-berichten of mails zijn verspreid, blijft vooralsnog dan ook een raadsel. 9to5Google beschikt echter over een inhoudelijke reactie van Google: de malware zou volgens een woordvoerder niet in de Google Play Store zijn opgedoken.
Google is sinds mei 2022 op de hoogte van het lek en geeft aan dat ze getroffen smartphonefabrikanten in de tussentijd hebben geïnformeerd over het nemen van maatregelen om misbruik te voorkomen.
Als de informatie van 9to5Google klopt en deze malware-apps dus niet in de Google Play Store stonden, ligt het voor de hand dat het gaat om apps die uit niet-officiële bronnen zijn gedownload. Dat staat ook wel bekend als sideloading.
En hoewel dat principe niet per definitie onveilig of gevaarlijk is, doe je er verstandig aan om nooit zomaar apps uit niet-officiële bronnen te downloaden, tenzij je er zeker van bent dat het om een legitieme app gaat.
Overigens is de mogelijkheid om apps te 'sideloaden' standaard uitgeschakeld: gebruikers die het tóch proberen, krijgen het verzoek om hun telefoon toestemming te geven om een app uit een externe bron te downloaden. Vaak is dat al reden genoeg om een belletje te doen rinkelen.
Google stelt in ieder geval dat het lek is gedicht en dat ze ook fabrikanten van smartphones de gelegenheid hebben geboden om veiligheidsmaatregelen te nemen. Maar op de vraag of bezitters van een Android-toestel – en zo ja, welke – op dit moment nog risico lopen, kwam geen antwoord. Google raadt bezitters van een Android-telefoon in ieder geval aan om te allen tijde de laatste versie van het besturingssysteem te installeren. Hoe ouder de versie van Android, hoe groter de kans dat er sprake is van beveiligingslekken en hoe kwetsbaarder je jezelf in theorie maakt.
En als jouw toestel dermate verouderd is dat 'ie de nieuwste Android-versies niet kan draaien en dus niet langer wordt ondersteund, is het misschien toch tijd om eens naar een nieuw exemplaar te kijken.
Lees ook:
Bron: 9to5Google.com, Bleeping Computer
Meld je snel en gratis aan voor de Kassa nieuwsbrief!