Het lek is aanwezig in alle Android-versies vóór de nieuwste versie 2.2. Op dit moment is 2.1 naar schatting goed voor 40,8 procent, terwijl voorgangers 1.6 en 1.5 op respectievelijk 15 en 7,9 procent zitten. Android-maker Google baseert die percentages op het bezoek aan zijn app store (Android Market), waar echter niet alle Android-toestellen per definitie langskomen. Het nieuwere Android 2.2, waar het nu onthulde gat niet in zit, heeft een marktaandeel van 36,2 procent.

'Slechts' browser

Hacker M.J. Keith heeft een gat ontdekt in de WebKit-basis van de browser die draait op de oudere Android-versies. Dit gat zat ook in oudere versies van Apple's browser Safari. Keith heeft succesvol misbruik van het lek gedemonstreerd op de beveiligingsconferentie HouSecCon, die deze week plaatsvond in Houston (VS). Inmiddels is de code om dit lek te misbruiken naar buiten gekomen.

De sandboxing-opzet van Android voorkomt dat een hacker via dit lek de gehele smartphone kan overnemen. Wel is het mogelijk om toegang te verkrijgen tot alle informatie waar de browser bijkan. De telefoonfuncties van Android blijven dus buiten schot, maar nagenoeg alle internetfuncties lopen gevaar.

Het risico betreft ook data, wat meer is dan alleen de surfgeschiedenis. Alle informatie die via de browser loopt, valt buit te maken. Bovendien is data op een eventuele geheugenkaart ook toegankelijk, vertelde Keith voor zijn presentatie aan Computerworld.

Oudere Android

Google is op de hoogte van deze kwetsbaarheid. "We zijn ons bewust van een 'issue' in WebKit die potentieel een impact kan hebben op alleen oudere versies van de Android-browser", aldus een Google-woordvoerder tegen onze Amerikaanse correspondent. "Deze kwestie is niet van toepassing op Android 2.2 of nieuwere versies."

Sommige oudere Android-toestellen zijn echter niet in staat om de nieuwere versie van het besturingssysteem te draaien. Verder blijken er nogal wat hobbels te zijn in het updaten van Android-toestellen. Zowel hardwarefabrikanten als telecomoperators voegen vaak nog eigen wijzigingen door in Android-updates, alvorens die uiteindelijk door te geven. Bovendien komen updates lang niet altijd 'over the air', dus via de mobiele dataverbinding. Updaten moet dan via een eigen pc-applicatie.