Nieuws
image

Android-toestellen standaard geleverd met kwetsbare apps

maandag 13 augustus 2018, 14:46 door Redactie, 6 reacties

Tientallen Android-toestellen worden standaard met kwetsbare apps geleverd waar kwaadaardige apps weer misbruik van kunnen maken. Dat blijkt uit onderzoek van securitybedrijf Kryptowire dat 25 verschillende toestellen onderzocht en 38 kwetsbaarheden aantrof.

Het gaat onder andere om telefoons van Sony, Oppo, Nokia, LG, Asus en Alcatel, alsmede verschillende goedkope Chinese merken. Via de kwetsbaarheden kan een kwaadaardige app bijvoorbeeld alle sms-berichten stelen, verwijderen of aanpassen, screenshots maken, rechten verhogen, gebruikersgegevens wissen via een fabrieksreset, sms-berichten versturen en zelfs het apparaat onbruikbaar maken.

"Al deze kwetsbaarheden zijn standaard aanwezig", zegt Ryan Johnson van Kryptowire. "Dat is belangrijk omdat gebruikers alleen denken dat ze risico lopen als ze iets verkeerds downloaden." Een gebruiker moet echter nog steeds een kwaadaardige app downloaden die van de kwetsbare apps misbruik kan maken. Deze apps vereisen echter geen speciale rechten.

Een kwaadaardige app hoeft de gebruiker bijvoorbeeld niet te misleiden om toegang tot gespreksgegevens te krijgen. Het kan die gewoon stilletjes zonder medeweten of toestemming van de gebruiker verkrijgen. Het probleem wordt veroorzaakt doordat fabrikanten en telecomproviders de vrijheid hebben om zelf allerlei apps toe te voegen.

"Het probleem zal niet verdwijnen omdat veel mensen in de logistieke keten hun eigen applicaties en code willen kunnen toevoegen. Dat vergroot het aanvalsoppervlak en vergroot de kans op softwarefouten. Ze stellen de gebruiker bloot aan exploits en die kan er niets aan doen", aldus Angelos Stavrou van Kryptowire.

Verschillende fabrikanten laten tegenover CNet en Wired weten dat de gerapporteerde kwetsbaarheden zijn verholpen, terwijl andere nog met updates moeten komen.

Reacties (6)
13-08-2018, 15:00 door johanw
Wat er in dit artikel niet bijstaat maar uit een vergelijkbaar artikel op Slashdot wel duidelijk wordt is dat dit vooral gaat over Amerikaanse provider-branded toestellen. De ergste ellende van provider branding is in Nederland gelukkig al weer zo'n 10 jaar voorbij, en hier is het tegenwoordig vaak niet meer dan wat provider-specifieke apps erop zetten die ook verwijderd kunnen worden, maar in de USA is dat nog de meest gebruikte manier om telefoons te verkopen.
13-08-2018, 16:02 door Mr. Sauertopf
@johanw had anders destijds een toestel van Sony met hun eigen MOS, kon je het internet de hele dag aan laten en eind van de dag was het verbruik exact 0,0 kB (prepaid), zolang je niets deed. Hoef je nu met Android (en iOS natuurlijk) niet te proberen. Zou graag willen dat dit zo weer was.
13-08-2018, 17:54 door johanw
Er wordt natuurlijk wel van alles gesynchroniseerd en Google heeft ook een centrale pushmessage service die bv. gebruikt wordt om aan te geven dat er een nieuw WhatsApp / Viber / Skype / Signal bericht is, zo hoeft niet elke app continue een verbinding open te hebben staan. En je kunt in instellingen eenvoudig mobiel internet uitzetten als je geen databundel hebt;
13-08-2018, 21:58 door Anoniem
Nokia? Die brengen standaard al hun telefoons uit met Android One. Dus dit betekend dat het of Google zijn schuld is, of dat het gaat om de Chinese varianten van deze Nokia telefoons, die wél een lichte schil op Android hebben.
13-08-2018, 23:16 door Anoniem
Ik heb een Nokia 6.1 en daar staat echt stock Android op, alleen echte Google apps. Plus 1 Nokia mini app met handleiding. Ik zie niet in wat daar kwaadaardig aan kan zijn.
14-08-2018, 10:24 door Anoniem
Door Mr. Sauertopf: @johanw had anders destijds een toestel van Sony met hun eigen MOS, kon je het internet de hele dag aan laten en eind van de dag was het verbruik exact 0,0 kB (prepaid), zolang je niets deed. Hoef je nu met Android (en iOS natuurlijk) niet te proberen. Zou graag willen dat dit zo weer was.

Grappig deze reactie, nix verbruikt... kan met Android ook gewoon, background activiteit uitzetten, maar ja je wilt natuurlijk wel de hele dag je facebook/whatsapp/whatever zaken binnen krijgen gok ik..zonder data werkt dat niet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search