Een beveiligingslek in een veelgebruikt advertentieprogramma voor Android-apps zorgt ervoor dat 2,5 miljard gedownloade apps risico lopen. InMobi is een advertentiebibliotheek die app-ontwikkelaars aan hun apps toevoegen en ervoor zorgt dat er advertenties in de app worden getoond.

Dit levert de app-ontwikkelaar weer geld op. Een kwetsbaarheid maakt het echter mogelijk om via een man-in-the-middle-aanval JavaScript aan het HTTP-verkeer van InMobi toe te voegen, dat vervolgens op het toestel wordt uitgevoerd. Hierdoor kan een aanvaller zonder toestemming van de gebruiker onder andere telefoonnummers bellen, sms-berichten verzenden, berichten op een sociaal netwerk plaatsen, foto's maken en gemaakte foto's op het toestel bekijken.

Dpwnloads

Beveiligingsbedrijf FireEye trof de InMobi-adware aan in meer dan 2.000 apps op Google Play, die elk meer dan 100.000 keer waren gedownload. Bij elkaar zouden de apps meer dan 2,56 miljard downloads tellen. Inmiddels zijn zowel Google als InMobi ingelicht. InMobi heeft een nieuwe ontwikkelkit voor app-ontwikkelaars uitgebracht, maar daar zijn nog niet alle problemen in verholpen, aldus FireEye. Daarnaast zijn er nog 2,56 miljard gedownloade apps die de kwetsbare versie van de InMobi ontwikkelkit gebruiken.

Volgens FireEye valt app-ontwikkelaars niet veel te verwijten, omdat InMobi gesloten software is. Ook wordt er door het bedrijf in het privacybeleid of de handleiding van de ontwikkelkit niets specifieks over de features van de adware verteld. "We begrijpen dat de aanbieders van advertentiebibliotheken zoals InMobi een reden hebben om uitgebreide functionaliteit toe te voegen, het is echter belangrijk dat de aanbieders de ontwikkelaars duidelijk maken dat dit soort features en functionaliteit beveiligings- en privacyrisico's met zich meebrengen, zodat de app-ontwikkelaar een weloverwogen beslissing kan maken", aldus analist Tao Wei.