image

"Veel Android-lekken door aanpassingen fabrikant"

dinsdag 5 november 2013, 10:15 door Redactie, 4 reacties

Veel beveiligingslekken die op Android-smartphones aanwezig zijn worden door aanpassingen van de fabrikant veroorzaakt, zo hebben onderzoekers ontdekt. 60% van de lekken die onderzoekers op de onderzochte Android-smartphones aantroffen, waren door aanpassingen van de fabrikant geïntroduceerd.

Hoewel Google de basis van het Android-platform ontwikkelt, wijzigen leveranciers zoals Samsung, Sony en HTC het platform om zo met hun hardware te integreren. Deze leveranciers voegen ook apps toe die ze zelf of hun partners hebben ontwikkeld.

Onderzoekers van de North Carolina State University onderzochten 10 Android-smartphones, waarvan vijf nieuwe modellen met Android-versie 4.x en vijf modellen met Android-versie 2.x van Samsung, HTC, LG, Sony en Google. 80% van de apps die op deze modellen stonden waren door de fabrikant geïnstalleerd.

Kwetsbaar

"Alle tien apparaten waren alleen al door de vooraf geïnstalleerde apps kwetsbaar", zegt onderzoeker Xuxian Jiang. "De oudere versies hadden gemiddeld 22,4 lekken per toestel, terwijl nieuwere versies gemiddeld 18,4 lekken per toestel hadden. En de nieuwere versies waren niet altijd veiliger. Sommige recentere modellen waren zelfs minder veilig dan hun voorgangers." Van de tien onderzochte modellen had de Google Nexus 4 de minste lekken.

Via de kwetsbaarheden was het mogelijk om zonder toestemming van de gebruiker audio op te nemen, telefoonnummers te bellen en de mogelijkheid om de gegevens van de gebruiker te wissen. Verder bleek dat 85% van de vooraf geïnstalleerde apps teveel rechten had. Het gaat dan om rechten die de app heeft, maar niet gebruikt. De onderzoekers zullen hun bevindingen morgen tijdens een beveiligingsconferentie in Berlijn presenteren.

Image

Reacties (4)
05-11-2013, 10:55 door Anoniem
Voel ik me toch wat minder dom met m'n dumb-phone.

Wellicht is het een idee om -net zoals bij voertuigen bijvoorbeeld- wat zwaardere eisen te gaan stellen aan ICT-apparatuur, waarbij er eerst GOED gecertificeerd wordt door een onafhankelijke partij, voordat een product op de markt gebracht mag worden...
Dat de huidige standaarden niet goed genoeg zijn, is al wat langer duidelijk IMHO.
05-11-2013, 13:06 door [Account Verwijderd]
[Verwijderd]
05-11-2013, 13:08 door Preddie
het feit dat je deze voor geïnstalleerde troep niet kunt verwijderen zonder dat je root op je telefoon hebt of een firewall installeren vind ik persoonlijk een hekelig punt. Zo heb je eerste een kwetsbaarheid nodig om de telefoon te rooten waarna je eigenlijk pas kan gaan beveiligen ....
05-11-2013, 13:21 door Preddie
Door Peter V.:
Door Anoniem: Voel ik me toch wat minder dom met m'n dumb-phone.

Wellicht is het een idee om -net zoals bij voertuigen bijvoorbeeld- wat zwaardere eisen te gaan stellen aan ICT-apparatuur, waarbij er eerst GOED gecertificeerd wordt door een onafhankelijke partij, voordat een product op de markt gebracht mag worden...
Dat de huidige standaarden niet goed genoeg zijn, is al wat langer duidelijk IMHO.
Eigenlijk geen gek idee. Eerst een soort IT-APK en dan mag je het pas op de Nederlandse markt brengen.

Dat idee klinkt leuk al denk ik zelf dat het uiteindelijk weinig uithaalt.

Kwetsbaarheden worden meestal pas gevonden nadat een product op te markt is, mede doordat het toestel dan mede beschikbaar komt voor een grote groep "onderzoekers". Er zullen absoluut zaken voortijdig aan het licht gaan komen echter denk ik dat het op het geheel weinig uitzal maken, zeker wanneer je leest dat sommige nieuwe versies van applicaties meer kwetsbaarheden bevatten dan de voorgaande versies.

Het mooiste zou zijn als de fabrikanten hun toestellen gaan leveren zonder voor geïnstalleerde apps, vaak worden deze relatief weinig tot niet gebruikt in verhouding tot de apps die men zelf installeert. We gaan met de telefoontoestellen dezelfde weg op als Windows vroeger; als je een nieuwe PC kocht ging je eerst alle geinstalleerde programma's verwijderen of het volledige besturingssysteem opnieuw installeren. Het enige verschil met de smartphone is dat je deze voor geïnstalleerde troep vaak niet eens kan verwijderen....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.