Een kwetsbaarheid in het Android besturingssysteem voor smartphones, laat aanvallers telefoongesprekken afluisteren, locatiegegevens monitoren en gevoelige benaderen, zonder dat de gebruiker hier toestemming voor geeft. De onderzoekers van de Carolina State University onderzochten acht Android smartphones en ontdekten dat de telefoons het permissiemodel voor applicaties niet goed handhaven. Daardoor kunnen kwaadaardige apps toch toegang tot persoonlijke informatie en andere afgeschermde functies van de smartphone krijgen.

De onderzoekers ontwikkelden een tool genaamd Woodpecker, die laat zien dat elf van de dertien 'privileged' permissies door de telefoons werden gelekt, waardoor kwaadaardige apps die kunnen misbruiken. Hiermee kan een app gebruikersgegevens verwijderen, sms-berichten versturen of gesprekken opnemen, zonder dat dit aan de gebruiker gevraagd wordt.

Fabrikanten
De onderzochte toestellen zijn de HTC Legend, HTC EVO 4G, HTC Wildfire S, Motorola Droid, Motortal Droid X, Samsung Epic 4G, Google Nexus One en Google Nexus S. De HTC EVO lekte de meeste permissies, acht in totaal, terwijl de Google telefoons één permissie lekten. De code die het mogelijk maakt om de permissies te omzeilen, zit voornamelijk in de interfaces en diensten die andere fabrikanten aan de standaard firmware van Google toevoegen. Volgens de onderzoekers is het lekken van deze permissies voor veel Android smartphones een groot beveiligingsprobleem.

Inmiddels hebben zowel Google als Motorola de kwetsbaarheden bevestigd, maar zijn HTC en Samsung "erg traag" met reageren, als ze de rapporten en meldingen niet negeren, aldus de onderzoekers in dit rapport. Het onderzoek wordt tijdens het 'Network and Distributed System Security Symposium' volgend jaar februari gepresenteerd.