Uitlegparty: Android en beveiliging, moeten we ons zorgen maken?
Android was hét doelwit op hackerscongres Black Hat. Een round-up van alle lekken, en vooral: wat kun je er tegen doen?
De belangrijkste white-hat-hackers verzamelden zich deze week in Las Vegas. In de hitte van de zon - het is daar zo'n 39 graden - presenteren de hackers hun bevinden over verschillende kwetsbaarheden in huidige technologie. Van lekken in processoren en software tot het overnemen van zelfrijdende auto's; alles komt aan bod.
Android was dit jaar een belangrijk doelwit van de white-hat-hackers, die twee belangrijke lekken en twee iets minder belangrijke kwetsbaarheden in Google's systeem aan het licht hebben gebracht. Een overzicht.
Lek 1: Stagefright
Door een lek in het videoframework van Android is het voor kwaadwillenden mogelijk om malafide code op een smartphone of tablet uit te voeren. De code wordt verstopt in de metadata, die automatisch wordt uitgelezen door het videoframework, zoals bij het ontvangen van een mms'je of een video via Hangouts. Laatstgenoemde heeft Google al opgelost en T-Mobile heeft al besloten zijn mms-systeem tijdelijk om te gooien.
Onder andere de Galaxy S6 en S6 Edge en de Nexus-toestellen van Google hebben al een update gekregen om het lek te dichten. Veel fabrikanten van Android-toestellen werken de komende tijd aan het verspreiden van updates, zo meldt Android Planet. Controleren of jouw Android-toestel kwetsbaar is, kan met de Stagefright Detector App van Zimperium, de ontdekker van het lek.
Google, Samsung en LG hebben na het Stagefright-lek aangegeven elke maand beveiligingsupdates naar hun toestellen te verspreiden.
Lek 2: Certifi-gate
Het tweede grote lek dat is ontdekt, genaamd Certifi-gate, maakt misbruik van de beveiligingscertificaten die worden gebruikt bij de remote-support-functies van Android. Remote-support maakt het mogelijk voor fabrikanten om via internet technische ondersteuning te leveren.
Om te laten zien dat de ondersteuning daadwerkelijk van de betreffende fabrikant komt, vraagt Android een beveiligingscertificaat op. Beveiligingsbedrijf en ontdekker van het lek Check Point heeft een manier gevonden om zo'n beveiligingscertificaat te spoofen en aan derden de volledige toegang tot een Android-systeem te geven.
Door de remote-support-functies van Android te misbruiken, kan een kwaadwillende alles zien wat de gebruiker op zijn Android doet en de controle overnemen. Daarnaast weet de gebruiker niet dat er wordt ingebroken op zijn smartphone.
Nexus-toestellen hebben geen last van het probleem. De rest kan controleren of zijn of haar toestel kwetsbaar is voor het lek door deze app te installeren. Fabrikanten melden dat ze hard werken aan het verspreiden van een patch voor de kwetsbaarheid.
Lek 3: Reboot-bug
Het derde lek is iets kleiner, maar zeker niet minder vervelend. Beveiligingsbedrijf Trend Micro heeft ontdekt dat het voor kwaadwillenden mogelijk is om een Android-toestel eindeloos opnieuw te laten opstarten. De gebruiker moet een malafide app installeren en vervolgens een eveneens malafide mkv-bestand van een website afspelen. Door een lek in het mediaserver-systeem komt Android in een zogeheten loop terecht.
Het lek in het mediaserver-systeem van Android zorgt ervoor dat het systeem tijdens het inlezen van malafide mkv-bestanden met de malafide app overbelast raakt. Dit heeft tot gevolg dat de accu erg snel leegloopt en in het ergste geval constant blijft rebooten. Laatstgenoemde gebeurt enkel wanneer de malafide app automatisch opstart tijdens het booten van het Android-systeem.
Fabrikanten hebben nog niet specifiek op dit lek gereageerd, maar omdat het nauw is verbonden aan Stagefright - dat eveneens een lek in de mediaserver van Android misbruikt - is het aannemelijk dat ook deze kwetsbaarheid wordt opgelost.
Lek 4: Misbruik van vingerafdrukscanner
Beveiligingsbedrijf Trend Micro heeft het laatste lek in Android ontdekt. De vingerafdrukscanner zou niet voldoende zijn beveiligd, waardoor het voor een malafide app mogelijk is om de vingerafdruk van de gebruiker te stelen. Dit gebeurt wanneer de gebruiker een malafide app opstart en vervolgens met zijn vinger over de vingerafdrukscanner beweegt. Onder andere de vingerafdrukscanner van Samsung, HTC en Huawei is onveilig.
Als zo'n malafide app zich vermomt als een app voor het beveiligen van je foto's - dat je jouw foto's alleen kunt inzien met je vingerafdruk - kan het misbruik van dit lek best ernstig zijn. Gelukkig zijn toestellen met Android 5.0 Lollipop of hoger beschermd: daar is de kwetsbaarheid al in opgelost.
Omdat de vingerafdruk de komende steeds belangrijker wordt - denk aan authenticatie bij een wachtwoordbeheerder tot het voltooien van betalingen -, is het cruciaal dat toestellen met een vingerafdrukscanner zo snel mogelijk naar Lollipop worden geüpdatet.
Eén voordeel: de meeste toestellen met een vingerafdrukscanner zijn high-end-apparaten, en die zijn reeds naar Android 5.0 geüpdatet. De ernst van dit lek valt gelukkig dus mee.
Moet je je zorgen maken?
Dat ligt er een beetje aan. Android-gebruikers met een high-end of relatief nieuwe smartphone, zullen waarschijnlijk zeer binnenkort één of meerdere patches ontvangen om deze kwetsbaarheden op te lossen. Het ligt aan de fabrikant hoe snel dit gebeurt. De Galaxy S6 of Galaxy S5 krijgen logischerwijs wel de beveiligingspatches, maar het valt te betwijfelen of dit ook geldt voor bijvoorbeeld de Galaxy Core 2. Zo'n toestel is niet meer belangrijk voor Samsung, en ontvangt hoogstwaarschijnlijk de benodigde patches niet.
De lekken hebben daarom wel een grote impact: door de fragmentatie van Android blijven heel veel smartphones en tablets kwetsbaar. Fabrikanten gaan lang niet al hun toestellen van beveiligingspatches voorzien, waardoor het voor kwaadwillenden gemakkelijker wordt om een grote groep oudere en goedkope Android-toestellen via een algemeen bekende exploit te hacken.
De 'fragmentatie' is hét grote nadeel van Android, dat anno 2015 nog steeds worstelt met het up-to-date houden van al die duizenden verschillende toestellen.