Een patch van Google zorgt ervoor dat tal van Android-apps niet meer werken, omdat ze onbedoeld een beveiligingslek in het mobiele besturingssysteem misbruiken. De kwetsbaarheid zorgt ervoor dat een aanvaller de APK-code van een app kan aanpassen, zonder dat de digitale handtekening verandert. Hierdoor is het mogelijk om malware via legitieme apps te verspreiden.

Deze week werd ontdekt dat verschillende apps in de Google Play store onbedoeld dit beveiligingslek misbruiken. Verder onderzoek wijst uit dat het om applicaties gaat die in Adobe Air zijn ontwikkeld. Uit cijfers van het Roemeense anti-virusbedrijf Bitdefender blijkt dat 1,25% van alle in Adobe Air geschreven Android-apps het MasterKey-gedrag vertoont.

Google heeft inmiddels een patch ontwikkeld om misbruik van het lek tegen te gaan en al deze Android-apps worden nu op gepatchte smartphones en tablets geblokkeerd.

Ontwikkelaars
De MasterKey-aanval werkt door twee dubbele bestanden in dezelfde Android Package File (APK) te plaatsen. Als het toestel de installatie start, pakt het besturingssysteem de APK uit en alle bestanden die hierin zitten. Aangezien er twee identieke bestanden aanwezig zijn met dezelfde locatie, wordt het eerste bestand door het tweede bestand overschreven, wat vervolgens als verdacht gedrag wordt gezien.

De aanwezig van het dubbele bestand is bij de nu ontdekte apps niet opzettelijk gedaan, zoals in het geval van een aanval. Het gaat om een bug die in de Android ontwikkelkit van Adobe aanwezig is. Het probleem werd in april van dit jaar door Adobe ontdekt en gepatcht. Ontwikkelaars die willen dat hun apps ook op gepatchte toestellen werken moeten dan ook een nieuwe versie van de app uitbrengen.