Vu onderzoekt Android exploit

Er zijn 1 waarderingen

App, security, appdesign

Onderzoekers van de Vrije Universiteit in Amsterdam zeggen een lek te hebben ontdekt in Android-telefoons, maar Google zou hier niks tegen willen doen.

Dit schrijft de Volkskrant zaterdag. Het lek zou ontstaan door de inlogmethode van Google. Met een Google-account kan ingelogd worden in de browser op de computer, maar ook in de smartphone en de tablet.

Volgens de onderzoekers hoeft alleen te worden ingebroken in de browser van iemand om ook de smartphone over te nemen. Een onderzoeker wist in de praktijk via de browser de inloggegevens van een Google-account te achterhalen.

Hiermee kon hij op afstand een kwaadwillende app installeren op de telefoon en vervolgens kon hij de gehele smartphone controleren inclusief het lezen ven berichten, installeren van andere software en het aanzetten van de camera.

Alle versies

Een woordvoerder van het Nationaal Cyber Security Centrum (NCSC), dat de casus van de onderzoekers heeft ingezien, verklaart tegenover NU.nl dat het lek voor alle versies van Android geldt. Volgens het NCSC moeten gebruikers eerst zelf wel de app op de smartphone openen om hackers toegang te geven tot de hele telefoon. 

'Daarom is bewustwording ook zo belangrijk', benadrukt de woordvoerder. "Zorg dat je niet via gekke linkjes software downloadt op je computer en zorg dat je virusscanner up to date is. En als je vervolgens toch een raar appje op je telefoon te zien krijgt. Krab dan achter je oren en open het niet."

 

ING

De wetenschappers hebben hun resultaten eind vorig jaar met Google gedeeld, maar het bedrijf zou er nog niks mee gedaan hebben. Volgens het NCSC is het vooral aan Google om dit probleem op te lossen. Ook het Team High Tech Crime (THTC) is op de hoogte gebracht net zoals de banken. 

Ook ING werd op de hoogte gebracht. De bank gebruikt verificatiecodes die naar iemands telefoon worden gestuurd als onderdeel van de beveiliging. De VU-onderzoekers wisten deze codes te onderscheppen.

ING laat weten dit soort cyberrisico's altijd nauwlettend in de gaten te houden. De bank benadrukt ook eigen detectiemaatregelen te nemen om de kans op fraude te beperken. En mochten klanten toch getroffen worden dan heeft ING regelingen om de schade te vergoeden.

Een woordvoerder van de betaalvereniging Nederland laat weten dat ze op de hoogte zijn van de dreiging en dat ze er mee bezig zijn. 

 

Het belangrijkste om hier te beseffen is; 

Ten eerste: het heeft dus niets, maar dan ook helemaal niets, met een 'lek in het besturingssysteem Android' te maken. Ten tweede: als je bent geïnfecteerd met een Man-in-the Browser trojan, dan ben je sowieso de klos. Die kan al ongemerkt accounts, internetbankiersessies en internetverkeer kapen, dus andere narigheid via de smartphone is niet eens meer nodig. Ten derde: het installeren van de benodigde malware kan alleen als de gebruiker 'sideloading' heeft aanstaan, het accepteren van apps van buiten de Play Store. Dit is al sinds jaar en dag een riskante onderneming.

De enige zwakte die de onderzoekers feitelijk aankaarten is de mogelijkheid om via de site van de Google Play apps te kunnen installeren op een smartphone. Dat is een gemak dat inderdaad ook een mogelijk risico herbergt, maar alleen al de aanvaller al complete controle heeft over je browser én je onveilige apps van buiten Google Play accepteert op je Android-toestel.