Beveiligingsonderzoekers zijn het erover eens dat het APK-lek in Android dat donderdag bekend werd, vooral een potentieel gevaar is voor oudere toestellen. Experts van Kaspersky en GData zijn blij dat het lek tijdig is gemeld bij Google maar wijzen op de grote kans dat toestellen waarop oudere Android-versies draaien kwetsbaar blijven. Ook al brengt Google een update uit voor oude Android-versies, dan is de kans klein dat fabrikanten en operators die breed uitrollen.

Zij zijn dan ook benieuwd naar het officiële statement van Google, dat ook een dag later nog steeds geen reactie wil geven op de onthulling. Securityleverancier McAfee houdt tot die tijd een slag om de arm en adviseert om ieder geval geen apps te installeren vanaf app-markten van derde partijen.

Het door startup Bluebox onthulde lek zou volgens beveiligingsonderzoekers van dat bedrijf 99 procent van alle Androids treffen. De werkende exploit kan de APK-code (Application Package Files) van een Android-app ongemerkt wijzigen. Dat betekent dat ook de cryptografische handtekening die controleert of een app betrouwbaar is, kan worden omzeild. Daardoor denkt Android dat een geïnfecteerde applicatie veilig is en heeft malware vervolgens een vrijbrief op het toestel.

Uitrol firmware is het probleem

“Dit is een techniek die we al kennen van Windows-pc’s. Vanwege het signeren zou dit eenmaal effectief een ernstig probleem zijn. De dreiging van dit lek zou groot geweest zijn wanneer het direct publiek bekend getoond werd. Het is dan ook perfect dat Google al een tijd op de hoogte is. Toch is dit een belangrijk lek waar iets aan gedaan moet worden ”, stelt Eddy Willems, security evangelist van beveiliger G Data.

Zijn collega bij Kaspersky is het hiermee eens. “Als de bekendmaker geen verantwoordelijk had genomen, was de dreiging inderdaad meer serieus. Gelukkig is Google al in februari op de hoogte gesteld. Daardoor zijn updates die de bug ongedaan maken uitgerold naar fabrikanten, aangezien in dit geval de firmware moet worden geüpdatet”, concludeert security-researcher Stefano Ortolani van Kaspersky Lab.

Toch kunnen we er niet vanuit gaan dat alle fabrikanten deze updates snel uitrollen. Ortolani: “Dit is iets waar Google zich de laatste tijd veel zorgen om maakt. Het is aan de fabrikanten om updates naar de eindgebruikers te pushen. Het kan in twijfel getrokken worden dat oude toestellen, waarvan het onwaarschijnlijk is dat deze updates ontvangen, veilig zijn.”

‘Google heeft oplossing gereed’

Willems denkt daarbij aan Android-versies Eclair en Froyo. “Ik ben vooral bang voor oudere toestellen draaiend op Android 2.1 en 2.2, die nog volop gebruikt worden. Zij kunnen door het uitblijven van updates uiteindelijk slachtoffer blijven. De nieuwe toestellen met de laatste Android-versie niet. Ik ben er 100 procent van overtuigd dat Google hier al naar gekeken heeft en een oplossing gereed heeft. Die zit misschien al in een update.”

Zolang Google de kaken stijf houdt, valt volgens securitybedrijf McAfee nog weinig te zeggen over de impact van het lek. “Wij kunnen op dit moment nog niet aangeven hoe ernstig deze kwetsbaarheid is. Omdat er nog niet voldoende informatie bekend is, kunnen we op dit moment nog niet aangeven hoe ernstig deze kwetsbaarheid is”, aldus McAfee in een reactie aan Webwereld.

Check door eindgebruiker onmogelijk

Gebruikers kunnen tot die tijd ook niet checken of hun telefoon besmet is, legt Willems uit. “Dit is geen malware, maar een lek. Die kan wel misbruikt worden door nieuwe malware, maar dat kun je nu niet zien. Maar als het signeren van de APK niets meer waard is, wordt dat een reëel probleem.”

De drie securitybedrijven raden daarnaast alle gebruikers sowieso af om apps buiten de Google Play Store om te installeren. Een advies dat gezien het malware-verleden van Android permanent aan te raden valt. De Play Store zelf is volgens Bluebox-CEO Jeff Forristal door Google inmiddels gewapend tegen dit specifieke APK-lek.

Gulzig met permissie

Updaten is het devies. Ortolani: “Zoals altijd: updaten, updaten, updaten! Vermijdt het gebruik van third-party stores en kijk ook altijd aandachtig naar de toestemmingen die je een applicatie geeft bij het installeren. Vertrouw applicaties die te gulzig zijn op het gebied van permissie nooit. Hou daarnaast je antivirus up-to-date en root je Android nooit.”

Zowel McAfee, Kaspersky als GData zijn de afgelopen tijd niet op de hoogste gesteld. Willems: “Wij hebben niets van Google gehoord, al gebeurt dit soms wel. Ik pleit al langer voor platform waarop alle beveiligingsbedrijven standaard worden geïnformeerd over beveiligingslekken. Niet alleen door Google, maar door alle partijen.”