De exploit die 99 procent van alle Androids kwetsbaar zou maken is in februari per toeval opgemerkt tijdens een nachtelijke hackaton. Onderzoekers van het team waren bezig met het maken van een integriteitsoplossing voor Android toen de ‘APK Master Key’ werd aangetroffen. Al snel resulteerde dat in de proof-of-concept.

Verslaggeefster Kerry Davis van Webwerelds uitgever IDG spreekt in aanloop naar de Black Hat USA-conferentie in Las Vegas met Bluebox-oprichter Adam Ely. Zijn bedrijf doet eind deze maand op die hackersconferentie het APK-lek volledig uit de doeken.

APK-code ongemerkt wijzigen

De exploit werkt naar verluidt zo dat de APK-code (Application Package Files) van een Android-applicatie ongemerkt gewijzigd kan worden. Dat betekent dat ook de cryptografische handtekening die controleert of een app betrouwbaar is, kan worden omzeild. Daardoor denkt Android dat een geïnfecteerde applicatie veilig is en heeft malware vrij spel.

Zoals bekend bracht het beveiligingsbedrijf Google op de hoogte, die het lek inmiddels gedicht heeft. Toch zijn experts bang dat vooral toestellen met oudere Android-versies kwetsbaar blijven.