Lek in Android laat apps dure telefoontjes maken
Android Jelly Bean is de populairste versie van he besturingssysteem van Google, en staat op de meeste Androidtelefoons geïnstalleerd. Toch is het net die versie die een vervelende kwetsbaarheid bezit: apps met kwade bedoelingen kunnen de ingebouwde beveiliging van Android omzeilen en zichzelf zo telefoonpermissies toe-eigenen.
Normaal is zoiets onmogelijk. Bij het installeren van een app krijg je een lijst met permissies die de app nodig heeft, zoals toegang tot wifi of sms"en. Jij beslist zelf of je die toegang wil geven. Indien een app bij de installatie niet om bepaalde permissies vroeg, krijgt hij er geen toegang toe.
[related_article id=”161920″]
Bug vorig jaar al ontdekt
Eind vorig jaar ontdekten onderzoekers bij de Duitse beveiligingsfirma Curesec echter dat het beveiligingssysteem van toestemmingen te omzeilen is in Android Jelly Bean. Getroffen versies zijn 4.1.x, 4.2.x en 4.3. Met Kitkat werd het probleem uit de wereld geholpen, maar slechts een minderheid van de gebruikers heeft die nieuwste versie van Android ter beschikking.
De bug laat applicaties die geen enkele toegang kregen tot het systeem toe om toch zelf te telefoneren, onder meer naar dure betaalnummers. Bovendien is het mogelijk voor een applicatie om een rechtmatig telefoongesprek zomaar af te breken. De applicaties passeren het Android-beveiligingssysteem volledig en telefoneren er vrolijk op los, zonder de CALL_PHONE-permissie te hebben, iets wat normaal gezien onmogelijk zou moeten zijn.
Codes
Mogelijke toepassingen van de veiligheidsbug gaan nog verder. Omdat kwaadaardige apps toegang hebben tot het invoeren van nummers, kunnen ze ook zogenaamde USSD-, DD- en MMI-codes invoeren. Dat zijn de codes die beginnen met * en eindigen op #. Je gebruikt ze om bijvoorbeeld je belwaarde te raadplegen, maar er bestaan heel wat meer toepassingen, zoals het forwarden van gesprekken en zelfs het blokkeren van je simkaart.
De kans is groot dat de kwetsbaarheid nog een tijdje blijft bestaan. Android-updates gebeuren erg versnipperd omdat elke fabrikant een eigen versie van het besturingssysteem op zijn toestellen wil plaatsen. Er is dus geen universele Android-update, de fabrikanten zijn verantwoordelijk voor het uitbrengen van een gepaste update voor hun eigen smartphones.
Oppassen met downloaden
Wie Android Jelly Bean heeft, past dus beter op met wat hij downloadt. Google scant de Playstore wel op apps die de kwetsbaarheid uitbuiten, maar er kunnen altijd exemplaren door de mazen van het net glippen. Download dus niets wat je niet vertrouwt.
Android Jelly Bean is de populairste versie van he besturingssysteem van Google, en staat op de meeste Androidtelefoons geïnstalleerd. Toch is het net die versie die een vervelende kwetsbaarheid bezit: apps met kwade bedoelingen kunnen de ingebouwde beveiliging van Android omzeilen en zichzelf zo telefoonpermissies toe-eigenen.
Normaal is zoiets onmogelijk. Bij het installeren van een app krijg je een lijst met permissies die de app nodig heeft, zoals toegang tot wifi of sms"en. Jij beslist zelf of je die toegang wil geven. Indien een app bij de installatie niet om bepaalde permissies vroeg, krijgt hij er geen toegang toe.
[related_article id=”161920″]
Bug vorig jaar al ontdekt
Eind vorig jaar ontdekten onderzoekers bij de Duitse beveiligingsfirma Curesec echter dat het beveiligingssysteem van toestemmingen te omzeilen is in Android Jelly Bean. Getroffen versies zijn 4.1.x, 4.2.x en 4.3. Met Kitkat werd het probleem uit de wereld geholpen, maar slechts een minderheid van de gebruikers heeft die nieuwste versie van Android ter beschikking.
De bug laat applicaties die geen enkele toegang kregen tot het systeem toe om toch zelf te telefoneren, onder meer naar dure betaalnummers. Bovendien is het mogelijk voor een applicatie om een rechtmatig telefoongesprek zomaar af te breken. De applicaties passeren het Android-beveiligingssysteem volledig en telefoneren er vrolijk op los, zonder de CALL_PHONE-permissie te hebben, iets wat normaal gezien onmogelijk zou moeten zijn.
Codes
Mogelijke toepassingen van de veiligheidsbug gaan nog verder. Omdat kwaadaardige apps toegang hebben tot het invoeren van nummers, kunnen ze ook zogenaamde USSD-, DD- en MMI-codes invoeren. Dat zijn de codes die beginnen met * en eindigen op #. Je gebruikt ze om bijvoorbeeld je belwaarde te raadplegen, maar er bestaan heel wat meer toepassingen, zoals het forwarden van gesprekken en zelfs het blokkeren van je simkaart.
De kans is groot dat de kwetsbaarheid nog een tijdje blijft bestaan. Android-updates gebeuren erg versnipperd omdat elke fabrikant een eigen versie van het besturingssysteem op zijn toestellen wil plaatsen. Er is dus geen universele Android-update, de fabrikanten zijn verantwoordelijk voor het uitbrengen van een gepaste update voor hun eigen smartphones.
Oppassen met downloaden
Wie Android Jelly Bean heeft, past dus beter op met wat hij downloadt. Google scant de Playstore wel op apps die de kwetsbaarheid uitbuiten, maar er kunnen altijd exemplaren door de mazen van het net glippen. Download dus niets wat je niet vertrouwt.