Zeker 99 procent van de toestellen met Android is kwetsbaar voor identiteitskaping. Dat blijkt uit onderzoek van de Duitse Universiteit van Ulm. Aanvallers kunnen de inlogreferenties voor bijvoorbeeld de diensten van Google stelen. Daarmee kunnen zij toegang krijgen tot bijvoorbeeld het adresboek, de e-mail, agenda of alle andere gegevens die op de server van Google staan.

Vrij eenvoudig

De onveiligheid in het platform wordt veroorzaakt door een verkeerde implementatie van het protocol ‘ClientLogin’ in Android 2.3.3 en eerdere versies. Als een gebruiker inlogt bij Google of bijvoorbeeld Twitter of Facebook, krijgt het platform een authenticatiesleutel terug. Die sleutel wordt in plain text verzonden. Omdat deze sleutel twee weken geldig is voor latere inlogpogingen, kunnen misbruikers hiermee toegang krijgen tot accounts van de gebruikers.

Op de website van het Instituut voor Media in Ulm, schrijven de onderzoekers dat zij wilden uitproberen of het echt mogelijk was deze identiteitskaping uit te voeren. Het antwoord bleek ja en het is volgens de Duitsers zelfs vrij eenvoudig om uit te voeren.

'Evil twin' WiFi-netwerk

De Britste techsite The Register meldt dat het onderzoek van de Duitsers voortbouwt op vindingen van de professor Dan Wallach. Die vond de tekortkomingen van Android tijdens een eenvoudige oefening voor zijn studenten. De aanval kan alleen uitgevoerd worden als het apparaat verbonden is met een onbeveiligde WiFi-verbinding. Een gratis hot-spot bijvoorbeeld.

Het wordt helemaal gevaarlijk als het netwerk onder beheer is van de aanvaller. Bijvoorbeeld als hij een ‘evil twin’ bij een gratis hotspot start. Een ‘evil twin’ is een kwaadaardig open WiFi-netwerk dat dezelfde naam heeft als een bondafide netwerk. Bijvoorbeeld ‘KPN’, ‘T-Mobile’ of ‘McDonalds’.

Standaard maken Android toestellen automatisch verbinding met zo’n netwerk als een gebruiker dat zelf eerder gedaan heeft. Applicaties op het apparaat proberen te synchroniseren zodra er een netwerkverbinding is. Op die manier kan de aanvaller de authenticatiesleutels van het slachtoffer buit maken. Ook op een bonafide hotspot is dit mogelijk maar kan dit niet eenvoudig worden geautomatiseerd.

'Overstappen naar https of OAuth'

De onderzoekers raden makers van apps die ClientLogin gebruiken onmiddellijk over te stappen naar een met https versleutelde verbinding. Ook het overstappen naar een robuuster authenticatieprotocol als OAuth zou helpen. Google kan haar steentje bijdragen door de geldigheidsduur van de sleutels te verkorten en verbindingen die niet via https binnenkomen te weigeren.

Google dichtte het beveiligingsgat eerder deze maand in Android 2.3.4. Maar omdat bijna nog geen enkel apparaat deze versie van Android heeft, is volgens de statistieken van Google 99% van de gebruikers kwetsbaar voor deze aanval. Ook is Picasa in de nieuwste versies van Android nog steeds kwetsbaar voor de aanval.

Google werkt met Picasa aan een oplossing voor het probleem.