Wat als hackers een bestaande legitieme app of update zouden kunnen nemen met een geldige digitale handtekening, en pas het aan om het te gebruiken als een kwaadaardig Trojaans paard om toegang te krijgen tot alles op uw Android-telefoon of tablet? Toen onderzoekers van een mobiele beveiligingsstartup belden Bluebox Security onthuld dat ze zo'n kwetsbaarheid hadden geïdentificeerd die "99 procent" van de Android-apparaten trof, haalde het technische krantenkoppen op internet. Maar moet u zich zorgen maken?
Wat is het probleem?
"Deze kwetsbaarheid, in ieder geval sinds de release van Android 1.6 (codenaam: "Donut"), kan invloed hebben op elke Android-telefoon die in de afgelopen 4 jaar is uitgebracht", legt Jeff Forristal, CTO van Bluebox, uit in een op de bedrijfsblog plaatsen. Hij wees er verder op dat "... een hacker de kwetsbaarheid kan misbruiken voor van alles, van gegevensdiefstal tot het opzetten van een mobiel botnet."
Aanbevolen video's
APK-bestanden, of Android-applicatiepakketten, lopen risico omdat deze fout hackers in staat stelt een legitieme app of update te wijzigen, maar de digitale handtekening te behouden die bevestigt dat deze veilig is. Ze kunnen een nep-app maken om uw wachtwoorden te stelen en een legitieme digitale handtekening te gebruiken, zodat uw Android-telefoon denkt dat deze is gemaakt door een bedrijf als Samsung, HTC of zelfs Google zelf. Aangezien apparaatfabrikanten en vertrouwde partners apps produceren met geprivilegieerde toegang tot uw Android-systeem, is het risico dat iets kwaadaardigs meelift op uw telefoon zeer ernstig.
Verwant
- 5 dingen die we graag zouden zien op Google I/O 2023 (maar waarschijnlijk niet)
- Ontspan, de enge USB-C-regel van de EU zal u niet beroven van snellaadvoordelen
- De beste advertentieblokkerende apps voor Android in 2022
Wat wordt hieraan gedaan?
Bluebox onthulde in februari 2013 Android-beveiligingsbug 8219321 aan Google. Google heeft de Play Store al bijgewerkt, zodat er controles zijn om schadelijke apps die deze exploit gebruiken te blokkeren. Google heeft de bug gedeeld met zijn hardwarepartners in de Open Handset Alliance en sommige fabrikanten hebben al patches uitgebracht om dit beveiligingsprobleem op te lossen.
Hoe kan ik malware vermijden?
Als je ervoor zorgt dat je je telefoon nooit onbeheerd achterlaat en je alleen apps en updates installeert van Google Play, dan is er geen reden tot bezorgdheid, omdat u hierdoor niet echt risico loopt uitbuiten. Als u er zeker van wilt zijn dat u niet wordt beïnvloed, gaat u naar binnen Instellingen > Beveiliging en zorg ervoor dat het selectievakje Installatie van "onbekende bronnen" toestaan is uitgeschakeld.
We hebben de besproken Basisprincipes van beveiliging van Android-apps eerder en ze zijn nog steeds van toepassing. Criminelen kunnen de Google Play Store nu niet gebruiken om malware te verspreiden met behulp van deze exploit, dus het is nu veilig om daar apps te downloaden. Wat u moet vermijden, is het installeren van apps of updates van andere bronnen - zelfs de app-winkels van Samsung of Amazon - althans voorlopig. Android-appstores van derden en directe links op websites zijn de meest waarschijnlijke leveringsmethoden, maar malware kan via e-mail aankomen of zelfs via een USB-kabel naar uw apparaat worden overgebracht (als u uw telefoon op uw computer).
“Het grootste probleem bij het verspreiden van malware op Android is om de gebruiker iets te laten downloaden en installeren van onveilige bronnen (bepaalde markten van derden of rechtstreeks van internet),' Maik Morgenstern, van het onafhankelijke beveiligingsinstituut AV-Test, ons uitgelegd. “De gemelde kwetsbaarheid helpt hier op geen enkele manier malware-auteurs. Ze zouden het nog steeds moeilijk vinden om hun creaties in de Google Play Store te krijgen en zelfs als ze slagen, zouden hun apps natuurlijk niet worden vermeld onder het oorspronkelijke auteursaccount. [Bijvoorbeeld] als ze een getrojaniseerde versie van Boze vogels, zou het worden vermeld onder de Malware Authors Name en niet onder Rovio. Gebruikers zouden dus nauwelijks over deze getrojaniseerde apps struikelen. Als gebruikers alleen apps uit de Google Play Store downloaden, zouden ze veilig moeten zijn.”
Dus ik kan ontspannen?
Het probleem met Android is dat Google actie kan ondernemen om fouten en hackpogingen te verhelpen, maar geen systeembrede update kan uitrollen.
"Het grootste probleem is het updatebeleid van veel fabrikanten", vertelde Morgenstern ons. “Oude toestellen krijgen geen updates meer (dus deze toestellen blijven kwetsbaar) en zelfs updates voor nieuwe toestellen kunnen maanden duren.”
Het is aan individuele fabrikanten en mobiele providers (AT&T, Verizon, T-Mobile, Sprint, enz.) om updates naar apparaten te pushen. Het komt vaak voor dat oudere Android-apparaten worden achtergelaten. Als u een ouder apparaat heeft dat risico loopt en u niet tevreden bent met Google Play, kunt u nog enige tijd worden blootgesteld.
Update 7-9-2013: Advies van Bluebox
Na publicatie van dit artikel heeft Bluebox contact met ons opgenomen. Ze dringen er bij gebruikers op aan dat de beste manier om het risico op dit beveiligingslek te verminderen, is om "Neem contact op met de fabrikant van uw apparaat of uw mobiele provider over uw specifieke Android-apparaatmodel en OS-versie om te zien of er een recente update/fix beschikbaar is gemaakt.” Ze wijzen er ook op dat u mogelijk de release-opmerkingen moet controleren om te bevestigen dat er een fix is opgenomen in de update. Als u er geen kunt vinden voor uw apparaat, raden ze u aan voorlopig niets van buiten Google Play te installeren.
De CTO van Bluebox, Jeff Forristal, is van plan technische details van het probleem vrij te geven tijdens zijn toespraak op Black Hat VS 2013 aan het einde van de maand. Het valt nog te bezien hoe de grote leveranciers van Android-apparaten zullen reageren. We houden je op de hoogte.
Artikel oorspronkelijk gepubliceerd op 7-8-2013.
Aanbevelingen van de redactie
- Mis je kans niet om deze Lenovo Android-tablet voor $ 120 te kopen
- Je zult niet geloven hoe goedkoop deze iPad is, dankzij Cyber Monday
- Google wil dat u weet dat Android-apps niet alleen meer voor telefoons zijn
- Het beste van Android 13 is geen nieuwe functie of instelling - het is iets anders
- Werkt draadloos opladen niet op je Pixel met Android 13? Je bent niet alleen
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.