Clickjacking in Android: nieuwe kwetsbaarheid kaapt privédata

Een flinke  hoeveelheid Android-apparaten is kwetsbaar voor een kwetsbaarheid genaamd  clickjacking. Wanneer er een laag over de software wordt gelegd en de gebruiker op het scherm tikt, kan een malafide website of dienst worden ingeladen.

Clickjacking-kwetsbaarheid

De kwetsbaarheid werd ontdekt door het beveiligingsbedrijf Skycure en  toont een nieuwe manier waarop  kwaadwillenden ongemerkt informatie van gebruikers kunnen stelen.  Wanneer de gebruiker op een onschuldig lijkende website of app tikt, wordt  in  werkelijk op de achtergrond  geklikt op een malafide link.  Deze kwetsbaarheid wordt `clickjacking` genoemd en stelt kwaadwillenden in staat om toegang te krijgen tot gevoelige informatie als e-mails en sms’jes.

In de video hieronder toont het zogeheten proof of concept, waarbij gebruik wordt gemaakt van een gratis game.  Op de achtergrond worden ongemerkt gebruikersgegevens gekaapt.

De clickjacking-kwetsbaarheid geeft kwaadwillenden  toegang tot de Accessibility Services. Deze toegankelijkheidsopties passen de Android-interface aan voor gebruikers met bijvoorbeeld een (audio)visuele beperking. De bijbehorende api’s geven  toegang tot apps en diensten die de toesteleigenaar  gebruikt, en die dus ook voor clickjacking ingezet worden.

Skycure geeft aan dat toestellen met Android 2.2 (Froyo) tot en met Android 4.4 (KitKat) kwetsbaar zijn. Hoewel Android-smartphones tegenwoordig met Android 5.0 (Lollipop) of hoger worden geleverd, zijn er nog veel die over een oudere versie beschikken. Zo draait bijvoorbeeld 35,5 procent van alle Android-telefoons op KitKat, terwijl ook een groot gedeelte (23,5 procent) van Jelly Bean (4.3.x) gebruikmaakt. Geadviseerd wordt om – indien mogelijk – te updaten naar een recente Android-versie.

Op de hoogte zijn van het laatste nieuws?

Schrijf je in voor onze nieuwsbrief!

Schrijf je nu in voor de Android Planet nieuwsbrief

Voornaam

E-mailadres

Toestemming

Ik geef Android Planet (BigSpark B.V.) toestemming om me per e-mail op de hoogte te houden van door onze redactie geselecteerde Android nieuwtjes, tips, wetenswaardigheden en unieke acties en aanbiedingen.

Dagelijkse nieuwsbrief (dagelijks om 7.00u) Wekelijkse nieuwsbrief (zondags om 19.00u) en bij bijzondere evenementen Winacties en bijzondere aanbiedingen (enkele keren per jaar)

Ja, ik ga akkoord met de algemene gebruikersvoorwaarden

De bovenstaande gegevens worden bewaard gedurende jouw inschrijving. Je kunt je in iedere nieuwsbrief eenvoudig weer afmelden.

We behandelen je gegevens met respect en sturen geen spam. Lees meer over onze privacyverklaring of stuur een mail naar privacy@bigspark.com.

We gebruiken MailChimp als ons marketingautomatiseringsplatform. Door dit formulier in te dienen, erken je dat de door jouw verstrekte gegevens worden overgedragen aan MailChimp voor verwerking in overeenstemming met het Privacybeleid en de Voorwaarden van MailChimp.