De Israëlische beveiligingsspecialist Check Point Software heeft een gevaarlijke bug ontdekt in Android-toestellen van fabrikanten als LG, Samsung, HTC en ZTE.
‘Certifi-gate’, zoals de kwetsbaarheid werd gedoopt, zorgt ervoor dat applicaties onrechtmatig toegangsrechten krijgen, die doorgaans worden gebruikt door remote support-applicaties die ofwel vooraf ofwel persoonlijk zijn geïnstalleerd op het apparaat.
Aanvallers kunnen Certifi-gate uitbuiten om onbeperkt toegang te krijgen tot Android-smartphones. Zo kunnen ze onder andere persoonlijke data stelen, locaties tracken en microfoons aanzetten om gesprekken op te nemen.
Tot dusver biedt Android geen oplossing om de certificaten die deze toegangsrechten verlenen in te trekken.
Zonder oplossing en zonder patch worden apparaten hier onmiddellijk bij het eerste gebruik aan blootgesteld. Alle betrokken leveranciers zijn door Check Point op de hoogte gesteld van Certifi-gate, en zijn inmiddels begonnen met het vrijgeven van updates.
Het beveiligingslek kan niet worden gerepareerd, maar kan enkel worden geüpdatet wanneer nieuwe software gepusht wordt naar het apparaat. Dit is een berucht langzaam proces met Android-devices.
Android-gebruikers kunnen via de gratis Check Point Certifi-gate scanner app (in Google Play) zien of hun apparaat is blootgesteld aan Certifi-gate.
