Black Hat legt volgende week blunder in Android bloot

De beveiligingsonderzoekers hebben de bug 'FakeID' genoemd omdat de werkwijze bij het misbruik van de bug wat wegheeft van het gebruik van een vals rijbewijs om op te jonge leeftijd aan alcohol of sigaretten te komen. Android verzuimt namelijk de geldigheid te controleren van de cryptografische certificaten die een app aanbiedt bij de installatie op de telefoon.

Certificaten verlenen sommige apps speciale privileges

Afhankelijk van deze certificaten kunnen enkele apps buiten de beveiliging van de sandbox komen waarbij de toepassing opeens toegang krijgt tot gegevens van andere apps of gevoelige onderdelen van het besturingssysteem. Ze noemen als voorbeeld Adobe Flash dat jarenlang als een plugin mocht fungeren in andere apps.

Doordat de voorwaarden waaronder die privileges niet goed gecontroleerd worden, kan een kwaadwillende daar gebruik van maken om zich toegang tot de telefoon te verschaffen door vervalste certificaten aan te bieden. De eigenaar van de telefoon moet alleen overtuigd worden een gemanipuleerde app te installeren.

Fout pas enkele dagen geleden gepatcht

Google heeft vanaf versie 4.4 van Android de mogelijkheden om de FakeID-bug te misbruiken iets ingeperkt, maar in de basis zit de bug nog altijd in het besturingssysteem, zelfs in de preview van versie 5, zegt Bluebox.

De bug is gemeld bij Google. Het bedrijf zegt in een verklaring blij te zijn met het werk en de melding van Bluebox. Er is onmiddellijk een patch gemaakt en verspreid onder Android-partners. Volgens Google is ook na een intensieve scan van alle apps in de app-winkel Google Play niet gebleken dat er sprake is van het gebruik van deze kwetsbaarheid.