Google heeft de afgelopen tijd in stilte een update uitgerold naar de meeste Android-toestellen om te beschermen tegen het zogenaamde APK ‘Master Key’-lek waarmee installatiebestanden zijn te bewerken tot malafide code.

Play Store Services scant externe apk's

Die bug zit in 99 procent van alle Android-toestellen, meldde ontdekker Bluebox vorige week. Deze week verscheen een proof-of-concept van de kwetsbaarheid in het openbaar, maar de meeste gebruikers zijn inmiddels door Google beschermd, zo blijkt uit statements van de Android-maker.

Google is sinds februari op de hoogte van de kwetsbaarheid en heeft verschillende stappen ondernomen, zoals een verbeterde scan van apps in de Play Store. Ook is er een patch voor Android zelf beschikbaar, alleen zal in die fix in veel gevallen gebruikers niet bereiken, omdat het aan de fabrikanten en operators is om dit al dan niet uit te rollen. Oudere toestellen krijgen vaak geen Android-updates meer.

Automatisch uitgerold, standaard aan

Nu blijkt echter dat Google ook via een aparte app al bescherming biedt voor bijna alle Android-gebruikers. “…’Apps Verifiëren’ biedt bescherming voor Android-gebruikers die apps van buiten Play op hun toestel downloaden”, bevestigt Gina Scigliano, Android Communications Manager bij Google tegen ZDNet.com.

Deze functie is onderdeel van ‘Google Instellingen’, wat weer onderdeel is van de ‘Google Play Services’-app. Die installeert Google sinds vorig jaar herfst automatisch bij alle Android 2.2-toestellen die ook de Play Store-app zelf hebben. Ergens de afgelopen maanden heeft Google blijkbaar de scan op de Master Key-bug in de ‘Google Play Services’-app geïntegreerd.

De scan staat standaard aan en biedt bescherming tegen schadelijke apps, ongeacht de oorsprong, dus ook andere appmarkten of losse APK’s, legt Google in een recent supportdocument uit.

Bij Android 4.2 zit deze ‘Apps Verifiëren’-functie overigens juist weer in Android ingebakken, onder Instellingen > Beveiliging > Apps verifiëren.

Webwereld heeft bij Google vragen uitstaan over het hoe en wanneer van de ‘Apps Verifiëren’-functie en de automatische uitrol van de APK-bugscan naar Android-gebruikers.

UPDATE: Correctie: In eerste instantie leek de ‘Apps Verifiëren’-functie alleen op Android 2.3 en hoger te werken, maar het werkt ook op Android 2.2. De functie is alleen zichtbaar als de gebruiker het toestaan van apps van 'onbekende bronnen' heeft aangezet.