Clickjacking in Android: nieuwe kwetsbaarheid kaapt privédata

Een flinke  hoeveelheid Android-apparaten is kwetsbaar voor een kwetsbaarheid genaamd  clickjacking. Wanneer er een laag over de software wordt gelegd en de gebruiker op het scherm tikt, kan een malafide website of dienst worden ingeladen.

Clickjacking-kwetsbaarheid

De kwetsbaarheid werd ontdekt door het beveiligingsbedrijf Skycure en  toont een nieuwe manier waarop  kwaadwillenden ongemerkt informatie van gebruikers kunnen stelen.  Wanneer de gebruiker op een onschuldig lijkende website of app tikt, wordt  in  werkelijk op de achtergrond  geklikt op een malafide link.  Deze kwetsbaarheid wordt `clickjacking` genoemd en stelt kwaadwillenden in staat om toegang te krijgen tot gevoelige informatie als e-mails en sms’jes.

In de video hieronder toont het zogeheten proof of concept, waarbij gebruik wordt gemaakt van een gratis game.  Op de achtergrond worden ongemerkt gebruikersgegevens gekaapt.

De clickjacking-kwetsbaarheid geeft kwaadwillenden  toegang tot de Accessibility Services. Deze toegankelijkheidsopties passen de Android-interface aan voor gebruikers met bijvoorbeeld een (audio)visuele beperking. De bijbehorende api’s geven  toegang tot apps en diensten die de toesteleigenaar  gebruikt, en die dus ook voor clickjacking ingezet worden.

Skycure geeft aan dat toestellen met Android 2.2 (Froyo) tot en met Android 4.4 (KitKat) kwetsbaar zijn. Hoewel Android-smartphones tegenwoordig met Android 5.0 (Lollipop) of hoger worden geleverd, zijn er nog veel die over een oudere versie beschikken. Zo draait bijvoorbeeld 35,5 procent van alle Android-telefoons op KitKat, terwijl ook een groot gedeelte (23,5 procent) van Jelly Bean (4.3.x) gebruikmaakt. Geadviseerd wordt om – indien mogelijk – te updaten naar een recente Android-versie.