Een groep beveiligingsonderzoekers van startup Bluebox stelt dat alle versies vanaf Android 1.6 (Donut) kwetsbaar zijn voor beveiligingslek 8219321. Het bedrijf spreekt van "een Android Master Key die 99 procent van alle Androids kwetsbaar maakt."

Google wil niet reageren

Zij hebben naar eigen zeggen Google al in februari 2013 op de hoogte gebracht. Maar volgens Bluebox-CEO Jeff Forristal is alleen de Samsung Galaxy S4 momenteel immuun dankzij een patch voor de exploit. Webwereld heeft vragen uitgezet bij Google, dat aangeeft niet te willen reageren op de onthulling.

Tot dusver ontbreken details. Daardoor kan lastig worden ingeschat hoe groot het risico is van het beveiligingslek. Bluebox schrijft op zijn blog dat zij eind juli in een presentatie op Black Hat USA 2013 meer uit de doeken doen.

Gebruikers zouden de vermomde malware zelf moeten downloaden, waarna er volledige controle over het toestel mogelijk is. App-winkel Google Play is volgens Forristal inmiddels aangepast door Google, wat gebruikers die alleen installeren en updaten via Google Play veilig stelt. De toestellen zelf blijven desondanks kwetsbaar.

Vergaande machtigingen

De exploit werkt volgens Bluebox zo dat de APK-code (Application Package Files) van een Android-applicatie ongemerkt gewijzigd kan worden. Dat betekent dat ook de cryptografische handtekening die controleert of een app betrouwbaar is, kan worden omzeild. Daardoor denkt Android dat een geïnfecteerde applicatie veilig is.

Zo kan malware vergaande machtigingen krijgen op het toestel. Een kwaadaardige app kan bijvoorbeeld zijn eigen code injecteren op het Android toestel, wat volgens de beveiligers de weg vrij maakt voor het uitlezen van opgeslagen bestanden, sms-berichten en e-mails, alsmede toegang tot de standaard apps op het toestel.

Het voorlopig enige bewijs van Bluebox is een screenshot waarin de Baseband-versie van een HTC-smartphone is gewijzigd naar een code met daarin de naam van het bedrijf: Update 11.31 uur: Reactie Forristal toegevoegd.