HTML5 zet deur wagenwijd open voor hackers
Onze smartphones blijken kwetsbaarder voor kwaadaardige software dan we tot nog toe aannamen. Dat ontdekten professor Kevin Du en zijn onderzoeksteam van de universiteit van Syracuse in de VS.
Volgens hem stellen dagelijkse taken zoals sms"en, zoeken naar gratis wifi-toegangspunten en het scannen van barcodes een toestel bloot aan gevaar.
De kwetsbaarheid is een gevolg van de stijgende populariteit van HTML5-apps. Traditioneel worden apps voor Android in Java gemaakt en gebruiken ontwikkelaars Object C in iOS. Dat wil zeggen dat software twee keer gecodeerd moet worden.
[related_article id=”158662″]
Gemakkelijker is om een programma in HTML5 te schrijven, aangezien elk mobiel besturingssysteem daarmee overweg kan. Het is dus weinig verwonderlijk dat zulke apps aan een opmars bezig zijn.
Besmette sms
Du onderzocht de code van bestaande HTML5-apps en stelde vast dat ze een serieus beveiligingsrisico inhouden. “Wanneer je in de luchthaven zoekt naar gratis wifi zal je telefoon een lijst met toegangspunten tonen”, verduidelijkt de professor. “Die interactie volstaat al voor een hacker om een kwaadaardige worm in de code van je smartphone te injecteren.”
Ongewenste code kan je telefoon niet alleen via wifi infecteren, ook mp3-bestanden, QR-codes en zelfs sms’en kunnen drager zijn. Wanneer een worm zich op je systeem nestelt kan hij de controle overnemen en zich verspreiden naar je contacten via sms, gedeelde bestanden, e-mail enzoverder. In een voorbeeld toont Du aan hoe een simpel lijntje code, verstopt in een QR-barcode, volstaat om iemands gsm van op afstand te traceren.
Kwetsbare apps
Het onderzoeksteam analyseerde zevenhonderd apps voor Android, iOS en Blackberry en stelde vast dat 17 procent ervan kwetsbaar is voor aanvallen. De makers werden gecontacteerd en beloofden hun code te herzien. Voorlopig belooft Du om de namen van de apps niet openbaar te maken.
Professor Kevin Du hoopt met zijn onderzoek op tijd aan de alarmbel te trekken. Het doel van de research is om kwetsbaarheden te detecteren voordat ze op grote schaal uitgebuit worden. Hij schat dat in 2016 de helft van alle mobiele applicaties in HTML5 geschreven wordt. “Als de kwetsbaarheden dan niet verholpen zijn, staat de deur open voor een potentiële ramp”, besluit Du.
Onze smartphones blijken kwetsbaarder voor kwaadaardige software dan we tot nog toe aannamen. Dat ontdekten professor Kevin Du en zijn onderzoeksteam van de universiteit van Syracuse in de VS.
Volgens hem stellen dagelijkse taken zoals sms"en, zoeken naar gratis wifi-toegangspunten en het scannen van barcodes een toestel bloot aan gevaar.
De kwetsbaarheid is een gevolg van de stijgende populariteit van HTML5-apps. Traditioneel worden apps voor Android in Java gemaakt en gebruiken ontwikkelaars Object C in iOS. Dat wil zeggen dat software twee keer gecodeerd moet worden.
[related_article id=”158662″]
Gemakkelijker is om een programma in HTML5 te schrijven, aangezien elk mobiel besturingssysteem daarmee overweg kan. Het is dus weinig verwonderlijk dat zulke apps aan een opmars bezig zijn.
Besmette sms
Du onderzocht de code van bestaande HTML5-apps en stelde vast dat ze een serieus beveiligingsrisico inhouden. “Wanneer je in de luchthaven zoekt naar gratis wifi zal je telefoon een lijst met toegangspunten tonen”, verduidelijkt de professor. “Die interactie volstaat al voor een hacker om een kwaadaardige worm in de code van je smartphone te injecteren.”
Ongewenste code kan je telefoon niet alleen via wifi infecteren, ook mp3-bestanden, QR-codes en zelfs sms’en kunnen drager zijn. Wanneer een worm zich op je systeem nestelt kan hij de controle overnemen en zich verspreiden naar je contacten via sms, gedeelde bestanden, e-mail enzoverder. In een voorbeeld toont Du aan hoe een simpel lijntje code, verstopt in een QR-barcode, volstaat om iemands gsm van op afstand te traceren.
Kwetsbare apps
Het onderzoeksteam analyseerde zevenhonderd apps voor Android, iOS en Blackberry en stelde vast dat 17 procent ervan kwetsbaar is voor aanvallen. De makers werden gecontacteerd en beloofden hun code te herzien. Voorlopig belooft Du om de namen van de apps niet openbaar te maken.
Professor Kevin Du hoopt met zijn onderzoek op tijd aan de alarmbel te trekken. Het doel van de research is om kwetsbaarheden te detecteren voordat ze op grote schaal uitgebuit worden. Hij schat dat in 2016 de helft van alle mobiele applicaties in HTML5 geschreven wordt. “Als de kwetsbaarheden dan niet verholpen zijn, staat de deur open voor een potentiële ramp”, besluit Du.