De wetenschapper Xuxian Jiang heeft een kwetsbaarheid in de nieuwste versie van het mobiele platform Android ontdekt. Dat beveiligingsprobleem kan uitgebuit worden om gevoelige gegevens van een telefoon te stelen. Kwaadwillenden kunnen de data stelen door gebruikers naar een malafide website te sturen.

Exacte pad en bestandsnaam

Via die website kunnen aanvallers alle gegevens op de SD-kaart van de smartphone uitlezen. Daaronder vallen bijvoorbeeld standaard alle foto’s die met het toestel gemaakt zijn. Ook opgeslagen voicemailberichten staan op die SD-kaart. Aanvallers kunnen verder een lijst van alle applicaties krijgen. Die apps kunnen zij (inclusief opgeslagen gegevens) naar een server uploaden.

Aanvallers moeten wel het exacte pad en de bestandsnaam kennen van de bestanden die zij willen stelen. Voor bijvoorbeeld foto’s is dit van afstand zonder voorkennis alleen te raden. Wanneer het echter gaat om applicaties of applicatiegegevens is het eenvoudiger: Die worden over het algemeen op een standaardlocatie opgeslagen.

Google komt met fix

De proof of concept van Jiang is getest op een Google Nexus S telefoon met de standaardconfigurate. Met die telefoon werkt de exploit succesvol, het is onbekend of andere telefoons met dezelfde versie van Android ook vatbaar zijn voor deze aanval.

Google laat de onderzoeker weten de bug in het mobiele platform serieus te nemen. Medewerkers van het bedrijf startten na de melding van Jiang direct een onderzoek naar de bug. Zij hebben de kwetsbaarheid bevestigd. Google zegt in de volgende grote update van Android een fiks voor het probleem op te nemen.

Workarounds

Tot er een update voor Android is verschenen kunnen gebruikers wel enkele workarounds gebruiken om te voorkomen dat kwaadwillenden er met hun gegevens vandoor gaan. Het uitschakelen van Javascript in de standaard browser, het verwijderen van de SD-kaart, of het installeren van een alternatieve browser.

De kwetsbaarheid lijkt erg op een bug die al in Android versie 2.2 aanwezig was. Met beide exploits is het alleen mogelijk om bekende bestanden van de SD-kaart te downloaden. Die bug zou in versie 2.3 opgelost moeten zijn, maar is dus nog niet volledig verhoplen. Beide exploits draaien binnen de sandbox van Android waardoor zij geen root-toegang hebben.