Een lek dat in 75% van de Android-toestellen aanwezig is is een grote privacyramp, zo waarschuwt een beveiligingsexpert. Via de kwetsbaarheid kan een kwaadaardige site de inhoud van andere geopende websites bekijken. De aanvaller kan zo bijvoorbeeld webmaildata uitlezen en zien wat de browser ziet.
Ook is het mogelijk om het sessiecookie van de aangevallen gebruiker te stelen, waardoor de aanvaller de sessie volledig kan overnemen en in naam van het slachtoffer bijvoorbeeld e-mails kan lezen en versturen. De kwetsbaarheid bevindt zich in de Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging omzeild kan worden.
"Dit is een privacyramp. De Same-Origin Policy is de hoeksteen van webprivacy en is belangrijk onderdeel voor browserbeveiliging", zegt Todd Beardsley van beveiligingsbedrijf Rapid7. Het lek was ontdekt door beveiligingsonderzoeker Rafay Baloch, die de kwetsbaarheid op 1 september via zijn blog openbaar maakte. Toen Baloch de kwetsbaarheid rapporteerde kreeg hij geen enkele reactie van Google.
De kwetsbaarheid is aanwezig in alle Android-versies voor Android 4.4. Dat houdt in dat 75% van de Android-toestellen risico loopt. Er is inmiddels een module voor de hackertool Metasploit verschenen waardoor het mogelijk is om van het lek misbruik te maken. Metasploit is een tool voor hackers, security professionals en penetratietesters om de veiligheid van systemen en netwerken te testen. Later deze week zal Beardsley een videodemonstratie van de kwetsbaarheid online zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.