Android-telefoons al onveilig als je ze uit de doos haalt

De onderzoekers gebruikten in hun test een zelf ontwikkeld tool, Woodpecker gedoopt, dat van iedere geïnstalleerde app op de smartphone onderzocht, of de systeemprivileges ervan wel naar behoren afgeschermd waren van toegang door andere applicaties. Bij de systeemprivileges waar de onderzoekers naar keken gaat het onder andere om toegang tot locatiegegevens, de mogelijkheid bestanden of gegevens te wissen, de mogelijkheid het adresboek te lezen en de mogelijk sms'jes te sturen.

Dure betaalnummers en betaalde sms'jes

Alleen de Google Nexus - die de onderzoekers als referentiemodel in het onderzoek hadden meegenomen - bleek nagenoeg vrij van dit soort problemen. De andere telefoons bleken echter in meerdere of mindere mate voorzien van apps waarlangs een hacker de systeemfuncties kan aanspreken, als hij zich met een app toegang heeft weten te verschaffen tot de smartphone. Dat kan ertoe leiden dat een hacker via zijn app het systeem terugzet in de af-fabriekstand - dus alle gebruikersgegevens wist - of bijvoorbeeld dure betaalnummers gaat bellen of sms'en.

Google en Motorola hebben inmiddels aan de onderzoekers laten weten dat hun bevindingen correct zijn. Welke actie ze gaan ondernemen, is nog niet bekend. HTC en Samsung hebben nog niet gereageerd.

De onderzoekers denken niet dat het probleem beperkt is tot de telefoons die ze onderzocht hebben. Maar de mate waarin smartphones kwetsbaar zijn door de meegeleverde apps verschilt wel sterk van model tot model. De bevindingen van de onderzoekers zijn online na te lezen in de publicatie Systematic detection of capability leaks in stock Android smartphones.