'Android onveilig door ontwerpfout'
Gepubliceerd: Maandag 8 augustus 2011
Auteur: Uhro van der Pluijm
Door een ontwerpfout in Android kunnen cybercriminelen inloggegevens stelen, aldus onderzoekers op Defcon. Volgens Google is het geen fout maar een feature.
Beveiligingsonderzoekers Nicholas Percoco en Sean Schulte van Trustwave hebben een manier gevonden waarop criminelen in Android inlogingegevens kunnen stelen. Ook kunnen twijfelachtige adverteerders hiermee pop-ups construeren die nagenoeg niet te negeren zijn, dat meldt CNet op basis van een presentatie op hackersconferentie Defcon.
Inlogscherm vervangen
In Android kan een app die bijvoorbeeld een update heeft naar de voorgrond worden geplaatst, zodat de update onder de aandacht komt van de gebruiker. Deze functie zit standaard in de software development kit van Android, hoewel developers deze functie nauwelijks gebruiken. Ze plaatsen eerder een waarschuwing in de statusbalk.
Maar kwaadaardige apps kunnen gebruik maken van deze mogelijkheid. Met behulp van een pop-up kunnen ze inloggegevens stelen. Stel dat een slachtoffer een app voor internetbankieren start. De kwaadaardige app kan dit waarnemen en zodra het loginscherm van de bankierapp verschijnt, treedt de malware op de voorgrond. Het loginscherm van de bank wordt zo ongemerkt vervangen door dat van de aanvaller.
Terugknop uitschakelen
Het is bovendien mogelijk om de standaardinstelling voor de terugknop op Androidtoestellen per applicatie te wijzigen, zo vertelt Schulte. Uitschakelen kan ook. Zo is het dus niet alleen mogelijk om het scherm te stelen, maar heeft een oplettende gebruiker ook geen manier om het valse inlogscherm weg te klikken.
De onderzoekers hebben zelf een proof of concept applicatie ontwikkeld die lijkt op een doodeenvoudige game, maar ondertussen de inlogschermen voor Facebook, Amazon, Google Voice en de GMail client van Google kaapt. Omdat de app zichzelf bovendien als service registreert wordt hij iedere keer gestart als een gebruiker zijn telefoon reboot, aldus de onderzoekers.
Gerichte pop-ups
In een demonstratie laten ze zien hoe de applicatie het inlogscherm van Facebook inpikt. Dat is te zien doordat het scherm even flikkert als de app zichzelf inschakelt. Dat gebeurt volgens de Amerikanen echter zo snel dat de normale gebruiker niet ziet dat er iets aan de hand is.
Verder is het volgens de onderzoekers mogelijk om zeer gerichte pop-ups te tonen aan gebruikers, bijvoorbeeld advertenties. Deze kunnen geactiveerd worden wanneer een gebruiker een bepaalde applicatie opstart, mogelijk van een concurrent. Door de terugknop ook daarbij uit te schakelen moet een gebruiker de pop-up uitzitten of doorklikken naar de adverteerder.
Google sust
Google stelt tegen CNet dat het schakelen tussen applicaties een gewenste mogelijkheid is die gebruikt wordt door veel verschillende applicaties. Zo is het mogelijk om informatie uit te wisselen tussen apps. De applicatie AppLock gebruikt de functie bijvoorbeeld om bepaalde delen van het toestel, zoals GMail, te beschermen met gezichtsherkenning. Volgens Google wordt de functie nog niet misbruikt.
In een reactie daarop stelt Percoco dat het schakelen tussen applicaties niet het probleem is. Het gaat er hem en zijn collega om dat andere applicaties kunnen zien welke app op de voorgrond staat en dat het mogelijk is om dan zelf de focus over te nemen. Hij stelt dat het bovendien bijna onmogelijk is om vast te stellen of een applicatie kwaadaardig is of niet.
Volgens de onderzoeker moeten gebruikers een melding indienen voor Google zo'n app kan verwijderen. Percoco vindt dat sowieso een slecht systeem. "Aanvallers kunnen veel sneller applicaties in de Market zetten dan Google ze kan identificeren en verwijderen", meent hij.
