Symantec heeft een beveiligingsprobleem in Android ontdekt dat veel overeenkomsten vertoont met het kapen van DLL-bestanden in Windows. “Deze aanval maakt gebruik van de Android-api's die het voor een app mogelijk maken om dynamische code te laden en die vervolgens uit te voeren", meldt een woordvoerder van Symantec aan Webwerelds zusteruitgave PCWorld.

Bonafide app misbruiken

“Een applicatie kan bijvoorbeeld plug-ins ondersteunen. Gebruikers kunnen die downloaden en op een later tijdstip installeren. Maar als deze plug-ins op een onveilige locatie opgeslagen worden, kan dat proces gekaapt worden". Zo kunnen hackers eenvoudig misbruik maken van de toestemmingen die een bonafide app krijgt van de gebruiker. Symantec benadrukt dat deze fout niet direct in Android zit.

Veel experts zien deze kwetsbaarheid als een nare bijwerking van de openheid die Google bij Android voorstaat. “Deze kwetsbaarheid, en vergelijkbare anderen die nog niet ontdekt zijn, zijn een vervelend effect van Androids openheid", stelt Oliver Lavery, beveiligingsdirecteur bij nCircle.

Hij vervolgt: “Hoewel open platforms goed zijn, heeft de geschiedenis van kwetsbaarheden in browsers ons keer op keer geleerd dat het belangrijk is om een goed werkende sandbox te hebben. Met name voor content die van het internet afkomstig is". Android kent wel een sandbox maar die zit alleen om apps heen. De meeste apps kennen geen eigen sandbox.

'Te moeilijke methode'

Lavery meent, in tegenstelling tot Symantec, dat de beveiliging van Android niet significant beter is dan die op een gemiddelde desktop of laptop. De 'ommuurde tuin' van Apple's iOS is dat volgens de beveiliger wel maar dat niveau van toegevoegde beveiliging neemt wel de openheid en uitbreidbaarheid weg. Symantec meent overigens dat de sandbox in Android beter is dan die van iOS.

Randy Abrams, directeur technische educatie bij het Roemeense ESET zegt tegen PCWorld dat de vondst van Symantec interessant is maar dat kwaadwillenden helemaal niet zoveel moeite hoeven doen om op een Android apparaat binnen te komen. Gebruikers van Android geven veel apps namelijk toestemming voor allerhande zaken zonder daar over na te denken.

Op die manier komen malafide apps gewoon op de telefoon binnen en kunnen de criminelen hun slag slaan. Meeliften op een bonafide app is dan niet nodig.