image

Android-kwetsbaarheid maakt het mogelijk om hulpdiensten te misleiden

woensdag 7 april 2021, 09:51 door Redactie, 2 reacties
Laatst bijgewerkt: 07-04-2021, 09:57

Een kwetsbaarheid in Android maakt het mogelijk om hulpdiensten te misleiden. Door het beveiligingslek kan een kwaadwillende gebruiker namelijk tijdens het bellen van de alarmcentrale een gespoofte locatie doorgeven, zo laat Google weten. Het techbedrijf heeft de kwetsbaarheid tijdens de maandelijkse patchcyclus van april verholpen, alsmede 38 andere beveiligingslekken in het besturingssysteem. Verdere details over het spoofinglek zijn niet openbaar gemaakt.

Het is de eerste keer dat Google een dergelijke kwetsbaarheid in een beveiligingsbulletin voor Android vermeld. Android maakt gebruik van Advanced Mobile Location (AML) om de locatie van de gebruiker bij het bellen van een alarmcentrale door te geven. Hiervoor gebruikt AML wifi, gps en andere sensoren om de locatie te berekenen. Deze locatie wordt vervolgens automatisch via één of meer gratis sms-berichten aan de centralist doorgegeven.

AML werkt alleen bij het bellen van een alarmcentrale, ook als de locatievoorzieningen van de telefoon staan uitgeschakeld. De technologie heeft 5 tot 20 seconden nodig om iemands locatie te bepalen. In het sms-bericht dat de centralist ontvangt staan standaard de coördinaten van de beller, het tijdstip van het berekenen van de locatie, het telefoonnummer, het IMEI-nummer van de telefoon en het IMSI-nummer van de simkaart. Na het gesprek schakelt AML zichzelf uit. Het is op dit moment onduidelijk waar de kwetsbaarheid zich precies bevindt. Google vermeldt alleen dat het om het Android Framework gaat.

De gevaarlijkste kwetsbaarheid die deze maand volgens Google is verholpen bevindt zich in Android System en zorgt ervoor dat een remote aanvaller via een speciaal geprepareerd bestand willekeurige code op het toestel kan uitvoeren. Ook over dit beveiligingslek, aangeduid als CVE-2021-0430, zijn geen verdere details gegeven. Tevens is een beveiligingslek gepatcht dat het voor malafide applicaties mogelijk maakte om zonder interactie van gebruikers aanvullende permissies te verkrijgen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2021-04-01' of '2021-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (2)
07-04-2021, 11:26 door Anoniem
Stop, voor de grap heb ik een tijd terug de permissies van mijn apps op mijn telefoon bekeken. Waarbij de bevinding luid dat 100% van de standaard google apps (camera, contacts, gps, etc etc) volledige rechten heeft. Van het aanzetten van microfoons tot wifi aanzetten tot gps aanzetten.

Zolang Google en andere "bedrijven" geen fuck om security en privacy geven, en mijn default camera app nog steeds mag bellen en wifitogglen, zijn dit soort "bug reports" in mijn ogen kansloos.
08-04-2021, 11:47 door Anoniem
Beetje gek om dit een lek in Android te noemen. Bij AML wordt kennelijk vertrouwd op de locatie die het toestel doorgeeft. Dat kan je dus ten alle tijden spoofen aangezien je zelf controle hebt over de software op jouw telefoon. Oftewel, een inherent risico
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.