Door een triviale cross-site scriptingbug in de website van Google's Android Market was het mogelijk om malicieuze apps vrijwel ongemerkt toegang tot het toestel van de gebruiker te verschaffen. Dat was mogelijk na het klikken van een link in de tekst met de beschrijving van een andere app. Google heeft het lek in de site nu gepatcht, meldt security-onderzoeker Jon Oberheide, de ontdekker van de bug.

Oberheide ontwikkelde een scenario waarbij het klikken op een link naar de Android Market, die pas sinds kort een webversie heeft, voldoende was voor het installeren van een app met malware. De methode bestaat uit het toevoegen van enkele html-codes in het veld dat ontwikkelaars kunnen gebruiken om hun apps te omschrijven voordat ze ze publiceren. Daar kan dus ook een malicieuze link worden gepubliceerd.

Geen bevestiging nodig

Met de Android Web Market is het mogelijk om apps met een enkele klik vanaf de computer automatisch op het mobiele apparaat te installeren. Google vraagt geen bevestiging van installatie op het toestel na het klikken op zo'n installatielink. "Google zou op zijn minst om bevestiging moeten vragen voor installaties die niet vanaf het eigen toestel worden opgezet", vindt Oberheide. "Dit soort xss-kwetsbaarheden gaan we vaker zien nu onze computers, mobieltjes, tv's en andere apparaten steeds meer via de cloud met elkaar verbonden worden."

Het xss-lek zat sinds de lancering van de Android Web Market in februari in de site. Het is maar één van de beveiligingsproblemen waar Android recent mee te maken heeft gekregen. Zo moest het bedrijf de laatste weken ook meermaals in actie komen tegen Android-apps met malware.