Groot beveiligingslek in Android ontdekt; met name voor onvoorzichtige gebruikers

Groot beveiligingslek in Android ontdekt; met name voor onvoorzichtige gebruikers

Vorig artikel Volgend artikel

Onderzoekers van de Vrije Universiteit zochten dit weekend de publiciteit omdat ze eind 2014 al een groot beveiligingslek in Android ontdekten waardoor onverlaten op relatief eenvoudige wijze toegang zouden kunnen krijgen tot wachtwoorden, apps, bankgegevens en feitelijk alles wat op een Android smartphone, tablet of ander apparaat met het Google OS. Het komt er op neer dat malafide personen of criminelen een app op het apparaat installeren waarmee ze volledige toegang krijgen tot het toestel en bonafide apps, PayPal wordt als voorbeeld genoemd, kunnen vervangen door malafide versies om geld en informatie afhandig te maken.

Een belangrijke bron van het lek is ons Google accoud. Dat wordt namelijk gebruikt om zoveel mogelijk diensten aan elkaar te koppelen en eenvoudig, voor de gebruiker, toegankelijk te maken. Daarin schuilt echter het gevaar dat waneer een onverlaat zich toegang verschaft tot jouw account hij nagenoeg vrij spel heeft.

Een specifiek voorbeeld van het nadeel van die koppeling en het lek in kwestie zijn de SMS / TAN codes van banken. Die extra beveiliging gaat er van uit dat er geen koppeling is tussen de webbrowser waarmee de gebruiker aan het internet bankieren is, en de smartphone waarop de beveiligingscode binnenkomt. Een crimineel zou zich dus toegang moeten verschaffen tot beide systemen om misbruik te kunnen maken. Tegenwoordig bankieren veel mensen echter al vanaf hun smartphone en als criminelen met een relatief eenvoudige actie ongemerkt toegang kunnen krijgen tot ALLE aps en informatie van die smartphone dan moge duidelijk zijn dat de beveiliging van het online en/of mobiel bankieren ook niet meer waterdicht is.

Dat klinkt natuurlijk niet goed en dat is het ook niet. Hieronder staat een uitgebreide videodemo van het lek en de manier waarop het werkt. Of dat zo handig is van de onderzoekers is natuurlijk nog maar de vraag, maar je kunt ook zeggen dat een gewaarschuwd mens voor twee telt.

Echter, enkele uren na deze publicatie in de Volkskrant bleek dat de gebruiker zelf ook een belangrijke rol moet spelen om het lek te kunnen exploiteren. Ontwikkelaar Hugo Visser ploos de video uit en ontdekte, gelukkig, enkele acties die je vooral NIET moet ondernemen om slachtoffer te worden van dit grote Android lek.

Om de malafide app te installeren moet je als gebruiker namelijk wel even toestemming geven. De meesten van ons doen dat natuurlijk niet in het geval van een onbekende app. De onderzoekers claimen dat de malafide app ook via een bookmark of een webpagina geinstalleerd kan worden. Ook daarvoor wordt de gebruiker, via een popup melding, toestemming gevraagd. Tot slot wordt ingegaan op het vervangen van bonafide door malafide apps. Ook daarvoor moet de gebruiker eerst zelf iets doen, namelijk het toestaan van installaties van 'onbekende bronnen' en, ook niet onbelangrijk, handmatig toestemming geven tot de installatie.

Kortom... Er lijkt inderdaad een groot lek te zitten in Android, maar voorzichtige gebruikers lopen maar een kleine kans om slachtoffer te worden van deze bedreiging.

Volgens de onderzoekers is het lek eind vorig jaar (2014) al gemeld bij Google maar de makers van Android hebben daar tot nu toe nog niets mee gedaan. Banken zijn ook op de hoogte gebracht en ING zegt de zaak in te gaten te houden en meldt dat de bank verschillende 'detectiemaatregelen' kan nemen om fraude in en vroegtijdig stadium te kunnen ontdekken.

Ron Smeets

Ron is mede oprichter en hoofdredacteur van Mobile Cowboys. Zijn passie voor mobiele gadgets is ontstaan aan het begin van de jaren 90 en groeit nog dagelijks....

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies