Android insecurity door smartphone bouwers

Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

Ongeveer 60 procent van Android securityproblemen zijn het gevolg van eigen aanpassingen en toevoegingen door smartphonebouwers, aldus een studie van de North Carolina State universiteit.

De onderzoekers presenteerden op een conferentie in Berlijn een studie op basis van een aantal geteste smartphones van Samsung, HTC, LG en Sony, waaruit de aanpassingen door de bouwers zelf voor insecurity zorgen. Er werden zowel Android 2.x als 4.x toestellen getest (waaronder de populaire Samsung Galaxy S3), in functie van apps gecreëerd door het Android project zelf, door de smartphonebouwer en door derden, telkens meegeleverd op het toestel.

De onderzoekers waren verrast door het niveau van onveiligheid, want 64 tot 85 procent van de onveiligheden waren het gevolg van code geschreven door de smartphonebouwer zelf (met de laagste score – 38% – voor Sony). Voorts bleken 85 procent van de meegeleverde apps zich meer systeemprivileges toe te eigenen dan nodig, en ook hier scoren de apps van de smartphone bouwers het hoogst. Blijkbaar een algemeen probleem in deze wereld, want ook referentietoestellen van Google (Nexus toestellen) bleken ziek in dit bedje. Bovendien bleek er geen verbetering te zijn in de nieuwere generatie smartphones (op het toestel van HTC na, omdat HTC blijkbaar lessen had getrokken uit initiële securityproblemen).

Een concreet voorbeeld werd onder meer voor de Samsung Galaxy 3 gegeven, met twee apps (Keystring_misc en FactoryTest) die in combinatie het toestel openen voor een aanval. De onderzoekers merken op dat dit toestel, “de meest populaire smartphone van 2012, […] de meeste kwetsbaarheden had van de toestellen in een zelfde generatie, zoals getest in de studie.”

In totaal werden niet minder dan 177 security zwakheden in de bestudeerde toestellen gevonden. De onderzoekers concluderen ietwat droogjes dat de constataties “de nood aan meer focus op security door de smartphone industrie onderstrepen.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content