Tijdens de beveiligingsconferenties Black Hat en Defcon hebben onderzoekers verschillende lekken in Android gepresenteerd. Android Planet noemt er zes die de veiligheid van Android bedreigen.
Lees verder na de advertentie.
De 6 lekken die de Android veiligheid bedreigen
1. Stagefright
De eerste grote kwetsbaarheid die is ontdekt, werd gerapporteerd door beveiligingsbedrijf Zimperium. Het videolek Stagefright stelt hackers in staat om toegang te krijgen tot het systeem door gebruik te maken van een kwetsbaarheid in een videoframework van Android, dat door allerlei apps en diensten kan worden gebruikt. Tijdens het inlezen van de metadata van een 3gpp- of mpeg4-video door het framework is het mogelijk voor een kwaadwillende om malafide code uit te voeren. 3gpp wordt voornamelijk voor mms gebruikt, maar kan ook via andere apps worden verstuurd, mpeg4 is een meer algemeen videoformaat.
Een video bevat malafide code die malware verspreidt
Een kwaadwillende kan iemand waarvan hij het telefoonnummer weet een bericht sturen met een video waarin de malafide code is verstopt. De code kan vervolgens misbruik maken van het lek, zelfs als de ontvanger het desbetreffende bericht niet heeft gelezen. Sommige apps verwerken video`s namelijk automatisch, waarna ze in de galerij worden bewaard en de malware vrije toegang tot het systeem heeft. In andere gevallen is het noodzakelijk om eerst de malafide video te openen voordat de malware zich verspreidt.
Vrijwel alle grote Android-fabrikanten hebben in een reactie laten weten met een patch voor Stagefright te komen, maar het is bij velen nog onduidelijk welke smartphones precies van een update worden voorzien. Met de Stagefright Detector is het mogelijk om te bekijken of jouw Android ook kwetsbaar is voor het videolek.
2. Certifi-gate
Kort na Stagefright kwam een tweede ernstig lek aan het licht: Certifi-gate. Dit lek, dat door beveiligingsbedrijf Check Point is ontdekt, maakt het mogelijk om via de remote support-functies Android geheel over te nemen. Check Point noemt het lek Certifi-gate, vernoemd naar het spoofen van het beveiligingscertificaat dat nodig is om van de remote support-functies misbruik te maken.
Fabrikanten maken het bij Android mogelijk om op afstand online ondersteuning te bieden. Dit gebeurt via remote support, waarbij Android met een beveiligingscertificaat de fabrikant controleert. Als een kwaadwillende een dergelijk beveiligingscertificaat misbruikt, krijgt degene volledige toegang tot het Android-systeem. Hierdoor kan de kwaadwillende enkel meekijken met de gebruiker of juist de controle overnemen. Het is daarbij niet mogelijk om je te beschermen tegen Certifi-gate: de beveiligingscertificaten krijgen standaard door remote support alle Android-rechten toegewezen.
Check Point heeft een gratis app uitgebracht waarmee Android-gebruikers kunnen controleren of de kwetsbaarheid op hun apparaat voorkomt. Het beveiligingsbedrijf heeft het lek bij fabrikanten gemeld, die zeggen dat ze werken aan het verspreiden van een patch voor Certifi-gate. Nexus-toestellen zijn daarentegen niet kwetsbaar voor Certifi-gate, dus als je in het bezit bent van bijvoorbeeld een Nexus 5 of Nexus 6 loop je geen gevaar.
3. Onversleutelde vingerafdrukken
Beveiligingsbedrijf FireEye is Ă©Ă©n van de twee bedrijven die kritisch zijn op de vingerafdrukscanners die bij Android-toestellen worden gebruikt. FireEye richt zich specifiek op HTC, dat vingerafdrukken onversleuteld en als afbeelding op het toestel opslaat. “Op de HTC One Max (de enige HTC-smartphone met een vingerafdrukscanner naast de One M9+, red.) wordt een vingerafdruk opgeslagen als /data/dbgraw.bmp met 0666-permissies“, aldus FireEye.
Door het opslaan van een HTC vingerafdruk als een onversleuteld .bmp-bestand kunnen derden bij de scan van de vingerafdruk, waarbij het bestandstype .bmp wordt gebruik voor normale afbeeldingen. “Om de situatie nog erger te maken: elke keer dat de vingerafdrukscanner wordt gebruikt wordt de scan ververst. Hierdoor kan de aanvaller op de achtergrond in het geheim alle vingerafdrukken verzamelen – bij elke swipe van de gebruiker. Als je vingerafdruk is gelekt, is ‘ie voor altijd gelekt.”
HTC heeft inmiddels een patch uitgerold waardoor het lek niet meer kan worden misbruikt. Vingerafdrukken worden voortaan versleuteld opgeslagen.
4. Misbruik van de vingerafdrukscanner
Beveiligingsbedrijf Trend Micro heeft eveneens een lek in de vingerafdrukscanner van verschillende Android-toestellen ontdekt. De scanner zou bij smartphones van Samsung, HTC en Huawei onveilig zijn, omdat een malafide app de mogelijkheid heeft om de scan van een vingerafdruk te onderscheppen. Dit gebeurt wanneer de gebruiker de malafide app downloadt en installeert, om ‘m vervolgens op te starten en over de vingerafdrukscanner te vegen. Dit zou bijvoorbeeld kunnen gebeuren bij een malafide app die zegt dat jouw foto’s met een vingerafdruk kunnen worden beveiligd.
Malafide app kan scan van vingerafdruk onderscheppen
Toestellen met Android 5.0 Lollipop of hoger zijn tegen het lek beschermd, waardoor de kwetsbaarheid relatief meevalt. Veel toestellen met een vingerafdrukscanner draaien namelijk op Lollipop. Maar sommige toestellen, zoals de Galaxy S5, draaien vanuit de doos op Android 4.4.2. Trend Micro raadt Android-gebruikers met een smartphone met een vingerafdrukscanner dan ook aan de software altijd van de laatste updates te voorzien.
5. Reboot-bug
Trend Micro heeft ook het vijfde Android-lek ontdekt: een manier om het toestel eindeloos opnieuw te laten rebooten. Om dit te laten gebeuren, moet de gebruiker een malafide app installeren en vervolgens een eveneens malafide mkv-bestand van een website afspelen. Door een lek in het mediaserver-systeem, waar ook Stagefright misbruik van maakt, komt het Android-systeem in een zogeheten loop terecht.
Door het lek in het mediaserver-systeem raakt de software tijdens het inlezen van een malafide mkv-bestand overbelast, waardoor de accu snel leegloopt en in het ergste geval de smartphone of tablet blijft rebooten. Dat laatste gebeurt bijvoorbeeld wanneer de malafide app tijdens het booten automatisch wordt opgestart.
Vooralsnog is het lek, dat voorkomt in Android 4.0 tot 5.1.1, niet door Google gedicht. Trend Micro raadt Android-gebruikers aan geen apps uit onbekende bronnen te installeren, zoals gedownloade apk-bestanden.
6. Apps die toestel kunnen overnemen
Het laatste lek dat is ontdekt, is gepresenteerd door IBM Security Intelligence. Door het lek in Android-versie 4.3 tot en met Android M Preview 1 is het mogelijk voor een kwaadwillende om via een malafide app een toestel volledig over te nemen. Als de malafide app wordt geĂŻnstalleerd, vraagt de betreffende app niet specifiek om belangrijke rechten. Door een lek in het openSSL-certificaat is het voor kwaadwillenden toch mogelijk om na de installatie alle rechten te krijgen, waardoor de malafide app vervolgens malware kon installeren.
De gebruiker is door het lek niet op de hoogte van de rechten die een malafide app kan verkrijgen; bij de installatie hoeft de app niet eens om rechten te vragen. De rechten werden daarna verkregen door het lek in het openSSL-certificaat te misbruiken. Google heeft het lek inmiddels gedicht in Android 4.4, 5.0, 5.1 en M. Daarnaast heeft Google Play Services een aanvullende update gekregen om Android te beschermen tegen deze kwetsbaarheid.
