We brengen op Androidplanet graag nieuws waar je als Android-gebruiker blij van wordt, zoals interessante apps en komende updates voor toestellen. Maar soms komt er ook iets tussendoor waardoor je weer even in de realiteit terug bent. In Android 2.3.3 en eerdere versies blijkt een kwetsbaarheid te zitten, waardoor aanvallers digitale tokens kunnen verzamelen. Het gaat daarbij om gegevens die worden vastgelegd zodra je inlogt bij Google Agenda, Facebook, Twitter en andere accounts. Wanneer je bij deze diensten inlogt wordt er op je toestel een lokale authToken opgeslagen. Die blijft 14 dagen actief, zodat je telkens opnieuw toegang tot de dienst krijgt, zonder steeds te hoeven inloggen. Die tokens blijken echter gemakkelijk te onderscheppen.

Een aanvaller die in het bezit komt van zo’n token kan inloggen op het account waar het authToken bij hoort. Het gebeurt echter alleen op een niet-beveiligd netwerk, bijvoorbeeld op een openbare Wi-Fi-hotspot in een café of winkel. Denk je dat je wel veilig zit, omdat je op een ‘officiële’ hotspot van bijvoorbeeld KPN of T-Mobile bent ingelogd, dan moet je toch nog steeds oppassen, want het is gemakkelijk om de SSID (de naam van de hotspot) te spoofen, oftewel: doen alsof het om een officieel netwerk van KPN of T-Mobile gaat. Heb je eerder verbinding gemaakt met een hotspot met dezelfde naam, dan maakt je Android-toestel automatisch verbinding. Zodra je toestel begint te synchroniseren, wordt daarbij het authToken gebruikt. Een aanvaller kan het op zo’n moment onderscheppen.

Google is op de hoogte van de kwetsbaarheid en heeft het in Android 2.3.4 en in Honeycomb al opgelost. Het probleem is alleen, dat er nog miljoenen toestellen in omloop zijn, die nog niet de update naar deze twee Android-versies hebben gemaakt. Wil je voorkomen dat je gegevens worden gestolen, dan kun je maar beter niet inloggen op openbare Wi-Fi-netwerken. En zorg ervoor dat je toestel niet automatisch verbinding met allerlei netwerken maakt. Je doet dit via de instellingen > Draadloos & netwerken > Wi-Fi Instellingen.

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.