Eerste misbruik van Android MasterKey-lek ontdekt
Onderzoekers hebben voor het eerst kwaadaardige Android-apps ontdekt die misbruik van het MasterKey-lek maken om smartphones en tablets met malware te infecteren. Eerder deze maand werd in zo'n 900 miljoen Android-toestellen een lek ontdekt waardoor aanvallers kwaadaardige code in legitieme Android-apps kunnen injecteren, zonder dat de digitale handtekening verandert.
Volgens Symantec is de kwetsbaarheid zeer eenvoudig te misbruiken en is het daardoor ook waarschijnlijk dat cybercriminelen dit zullen doen. Het anti-virusbedrijf heeft nu de eerste apps genaamd Android.Skullkey ontdekt die misbruik van het MasterKey-lek maken. Het gaat om twee legitieme applicaties die op een Chinese Android-marktplaats werden aangeboden.
Malware
De apps zijn bedoeld voor het maken van afspraken bij een dokter en als hulp bij het zoeken. De aanvaller heeft de apps voorzien van code waardoor hij gevoelige informatie zoals IMEI en telefoonnummers kan stelen, sms-berichten naar dure telefoonnummers kan sturen en verschillende Chinese mobiele virusscanners kan uitschakelen.
Symantec verwacht dat er nog meer apps zullen verschijnen die het lek misbruiken. Google heeft inmiddels een update uitgebracht, maar die moet nog door fabrikanten en telecomaanbieders worden uitgerold. Daarnaast scant de zoekgigant op dit moment alle apps op Google Play op dit probleem.
Verder heeft Bluebox Security, dat als eerste het lek ontdekte, een gratis app gemaakt die controleert of het Android-toestel in kwestie gepatcht is. Voor geroote smartphones is er daarnaast een onofficiële patch verschenen. Ook een aantal mobiele virusscanners kan de aanval inmiddels herkennen.
Mede vanwege dit gedoe, heb ik een klacht ingediend bij de Autoriteit Consument en Veiligheid via ConsuWijzer. De strekking van de klacht is dat fabrikanten en telecomaanbieders kwetsbaarheden in smartphones niet of pas zeer laat repareren. In veel gevallen leveren ze zelfs inherent onveilige toestellen. Ik geloof namelijk niet dat je momenteel een Android telefoon bij een Nederlandse telecomprovider kunt kopen waar dit probleem is opgelost.
Een enkele klacht is natuurlijk niet veel, maar als er meer klachten komen, zullen ze het moeten onderzoeken en eventueel de leveranciers hierop aanspreken.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.