Een flinke hoeveelheid Android-apparaten is kwetsbaar voor een kwetsbaarheid genaamd clickjacking. Wanneer er een laag over de software wordt gelegd en de gebruiker op het scherm tikt, kan een malafide website of dienst worden ingeladen.
Clickjacking-kwetsbaarheid
De kwetsbaarheid werd ontdekt door het beveiligingsbedrijf Skycure en toont een nieuwe manier waarop kwaadwillenden ongemerkt informatie van gebruikers kunnen stelen. Wanneer de gebruiker op een onschuldig lijkende website of app tikt, wordt in werkelijk op de achtergrond geklikt op een malafide link. Deze kwetsbaarheid wordt `clickjacking` genoemd en stelt kwaadwillenden in staat om toegang te krijgen tot gevoelige informatie als e-mails en sms’jes.
In de video hieronder toont het zogeheten proof of concept, waarbij gebruik wordt gemaakt van een gratis game. Op de achtergrond worden ongemerkt gebruikersgegevens gekaapt.
De clickjacking-kwetsbaarheid geeft kwaadwillenden toegang tot de Accessibility Services. Deze toegankelijkheidsopties passen de Android-interface aan voor gebruikers met bijvoorbeeld een (audio)visuele beperking. De bijbehorende api’s geven toegang tot apps en diensten die de toesteleigenaar gebruikt, en die dus ook voor clickjacking ingezet worden.
Skycure geeft aan dat toestellen met Android 2.2 (Froyo) tot en met Android 4.4 (KitKat) kwetsbaar zijn. Hoewel Android-smartphones tegenwoordig met Android 5.0 (Lollipop) of hoger worden geleverd, zijn er nog veel die over een oudere versie beschikken. Zo draait bijvoorbeeld 35,5 procent van alle Android-telefoons op KitKat, terwijl ook een groot gedeelte (23,5 procent) van Jelly Bean (4.3.x) gebruikmaakt. Geadviseerd wordt om – indien mogelijk – te updaten naar een recente Android-versie.
