Een beveiligingsonderzoeker heeft een proof-of-concept gepubliceerd waarmee de Android ‘master key’-bug is te misbruiken. Dat meldt The Security Ledger. De onderzoeker heeft zijn code op Github geplaatst. De bug wordt pas eind deze maand officieel uit de doeken gedaan op hackerscongres Black Hat aan het eind van de maand.

Betrouwbare APK gecorrumpeerd

De makers van populaire Android-ROM CyanogenMod bogen zich afgelopen weekend ook al over de bug en kwamen tot de conclusie dat het probleem ontstaat als er binaries worden bijgeplaatst in goedgekeurde APK's, waarbij het gedupliceerde installatiebestand niet wordt geverifieerd. De Cyanogen-ontwikkelaars stellen daarom een simpele patch voor om dit probleem op te lossen.

Beveiligingsonderzoeker Pau Olivia Fora schreef een stukje code waarmee dit gat is te misbruiken. De APKTool, waarmee installatiebestanden zijn te recompilen, wordt door Olivia Fora’s code gebruikt om aanpassingen te maken in deze bestanden. Hiermee zijn bestanden toe te voegen aan een betrouwbare APK om deze malafide te maken.

Patch bij OEM’s

De ontdekker van de bug, Jeff Forristal, heeft Google in februari op de hoogte gesteld van het probleem. In een e-mail aan de Security Ledger meldt Google – dat voor het eerst officieel op de zaak reageert – dat er sinds maart een patch bij de OEM’s ligt, wat verklaart waarom nieuwe Samsung-apparaten niet kwetsbaar blijken te zijn.

Google zegt dat er geen exploits in het wild zijn gezien die het gat misbruiken. Ook blijft het bedrijf adviseren om niet van andere app-winkels te downloaden, maar vanuit Google Play, waar actief wordt gescand op malafide APK’s.

Oud Android kwetsbaar

Vanwege de problematische updates bij veel oude modellen is het de vraag of de patch zijn weg vindt naar bijvoorbeeld Android 2.x-toetstellen. Momenteel zit 39,7 procent van de Android-gebruikers op een versie van vóór Android 4.0. Deskundigen verwachten dan ook dat vooral oude toestellen kwetsbaar zullen blijven voor valse APK-klonen.

Update 11.00 uur: Zin in tweede alinea aangepast om aan te geven dat het om in de APK bijgeplaatste bestanden gaat.