900 miljoen Android-phones lek door 'meestersleutel'
Een beveiligingslek in het Android beveiligingsmodel zorgt ervoor dat 99% van alle toestellen die in de afgelopen vier jaar zijn verschenen, wat neerkomt op 900 miljoenen apparaten, gehackt kan worden. De ontdekking werd gedaan door onderzoekers van Bluebox Security. Door de kwetsbaarheid kan een aanvaller de APK-code aanpassen, zonder dat de digitale handtekening verandert.
Hierdoor is het mogelijk om kwaadaardige updates naar legitieme Android-applicaties te sturen, zonder dat dit door de appwinkel, telefoon of gebruiker wordt opgemerkt. "De gevolgen zijn gigantisch", zo laat Bluebox Security op de eigen website weten. De kwetsbaarheid zou sinds de lancering van Android 1.6, met de codenaam Donut, aanwezig zijn.
Het probleem wordt vergroot door de applicaties van fabrikanten als HTC, Samsung, Motorola en LG, die met verhoogde rechten werken. In dit geval kan een kwaadaardige update volledige controle over het Android-toestel krijgen en zaken als wachtwoorden stelen, gesprekken afluisteren en sms-berichten onderscheppen.
Manipulatie
Het probleem wordt veroorzaakt in verschillen in de manier waarop Android-apps cryptografisch worden geverifieerd en geïnstalleerd. Daardoor is het mogelijk om de APK-code aan te passen, zonder dat de digitale handtekening wordt veranderd. Een digitale handtekening zou moeten garanderen dat de code niet is aangepast, maar dat blijk in het geval van Android niet op te gaan.
Alle Android-applicaties bevatten cryptografische handtekeningen, waarmee Android kan bepalen of de app of update legitiem is en niet is aangepast of gemanipuleerd. Door het nu ontdekte lek kan een aanvaller Android laten geloven dat de app niet is aangepast, terwijl dit wel het geval is.
De kwetsbaarheid, die tijdens de Black Hat conferentie in Las Vegas wordt gedemonstreerd, is in februari aan Google gerapporteerd. Het is aan fabrikanten om firmware-updates voor alle mobiele toestellen uit te rollen, en vervolgens aan gebruikers om die te installeren, aldus Bluebox Security. Wanneer deze updates verschenen ligt aan de fabrikanten en het toestel in kwestie.
Er is een recente vulnerability ontdekt en u gelooft dat u veilig bent als u een platform gebruikt waarop het nog niet ontdekt was? Nu ze bekend is kunnen ze kijken welke apps mogelijk zo een vulnerability misbruiken, maar voor zover u zou weten, is een app die u al sinds uw eerste smartphone staan hebt daar al zolang van gebruik aan het maken.
Enige kennis van zaken is misschien handig om te bepalen of het relevant is in uw geval.
Ook voor jou relevant hoor. Ik weet niet of je het hebt gelezen, maar dit geldt voor alle apps, dus ook uit de Play Store. Mensen kunnen die updates ook aanpassen zonder dat je dit merkt en dan ben je ook de klos!
Zo groot is de dreiging dus volgens mij niet...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.