Belgisch securitybedrijf ontdekt kwetsbaarheid in Android

© Google
Pieterjan Van Leemputten

Het Belgische securitybedrijf GuardSquare heeft een kwetsbaarheid in Android gevonden waarmee malafide apps ongemerkt op je telefoon geraken.

In het kort komt het er op neer dat een malafide app zich kan voordoen als een update van een bestaande app, maar dat het verificatiesysteem van Android dat niet merkt. De fout, die door GuardSquare tot ‘The Janus vulnerability’ werd gedoopt, is mogelijk op Android 5.0 en hoger, tot en met Android 7.0. Wel heeft Google in november een update uitgebracht die het probleem indekt.

Android-apps worden geleverd in de vorm van een APK-bestand. Dat is een soort zip-file die de resources, assets en de code bevat. Die code zit op zijn beurt in een DEX-file. Maar Eric Lafortune, cto van GuardSquare, ontdekte dat het mogelijk is om extra bytes (in de vorm van malafide code) toe te voegen tussen de verschillende onderdelen van het APK-bestand en aan het einde van het DEX-bestand. Het algoritme dat de handtekening van de app controleert, kijkt immers enkel naar de onderdelen van het bestand, niet naar eventuele extra bytes tussen de onderdelen.

“Hierdoor kan je een reguliere app volledig van andere code voorzien en noch de gebruiker of Android merkt dat,” zegt Lafortune aan Data News. Zo zou het bijvoorbeeld kunnen dat een app die weinig toestemmingen vraagt plots toch zichzelf toegang toe-eigent tot bijvoorbeeld je camera of microfoon.

GuardSquare benadrukt wel dat de poging bij hun weten nog niet in praktijk werd toegepast door cybercriminelen. Ook kan een app die je via de Play Store download niet zomaar worden vervangen door een geïnfecteerd exemplaar. “Wie zijn apps enkel haalt in de Play Store is normaal wel beschermd. Maar wie toch naar een officieuze site gaat, kan het risico wel lopen als het toestel geen recente veiligheidsupdate heeft gehad,” zegt Lafortune.

Een bekend voorbeeld hiervan is de Netflix-app. Wie een Androidtoestel met roottoegang heeft, kan bepaalde apps niet downloaden via Google Play. Zij moeten vaak via een officieuze weg de Netflix-APK vinden, met alle risico’s die er bijhoren. Als je dan een malafide app installeert die de Janus-kwetsbaarheid toepast, zal Android ze als een legitieme update herkennen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content