De voorgeïnstalleerde apps en functies van smartphonemakers bezorgen die toestellen kwetsbaarheden. Sommige van die toevoegingen passeren de beveiligingsmaatregelen van besturingssysteem Android. De standaard-images van toestelfabrikanten voor hun eigen Android-apparaten houden zich niet altijd aan het permissiemodel van dat platform.

Eigen scantool

Onderzoekers aan de North Carolina State University hebben dit ontdekt en verschillende toestellen doorgenomen op deze zwakke plekken. De Amerikaanse wetenschappers hebben hiervoor een eigen tool (Woodpecker) ontwikkeld, zetten ze uiteen in hun paper (pdf).

Daarbij merken ze wel op dat het hier dus niet gaat om algemene kwetsbaarheden in Android zelf, maar om zwakke plekken in bepaalde implementaties van dat Google-besturingssysteem. De onderzoekers hebben ook toestellen met een 'kale' installatie van Android onderzocht. Die bleken de ontdekte zwakke plekken dan ook niet te bevatten.

Populaire Android-modellen

De reference-implementatie van Google zelf is ook veilig, net zoals de installatie op Motorola's Droid-toestel. Tot op heden hebben de wetenschappers acht verschillende, populaire Android-modellen onderzocht. De Droid X van Motorola blijkt flinke kwetsbaarheden te bevatten, net zoals de Epic 4G van Samsung en de EVO 4G, Legend en Wildfire S van HTC. De EVO 4G heeft de meeste kwetsbaarheden.

De fabrikanten zijn eerder dit jaar al geïnformeerd, meldt wetenschapssite Science Daily. Tot op heden is er geen malware bekend die inhaakt op deze voorgeïnstalleerde zwakke plekken. Volgens de ontdekkers is er wel veel kwaad mogelijk: uiteenlopend van telefoongesprekken opnemen en afluisteren tot het versturen van sms-berichten naar dure betaalnummers en het volledig wissen van de gebruikersdata en telefooninstellingen.

Eigen Android

De open aard van Android laat toestelproducenten en ook telecombedrijven vrij om eigen aanpassingen te plegen. Dat kan uiteenlopen van eigen apps bovenop Android tot ingebouwde notificatiefuncties voor berichten en zelfs compleet eigen grafische interfaces (gui's). De meeste daarvan zijn vooraf al geïnstalleerd en sommige zijn niet te verwijderen.

Het gebruik van 'gekraakte' (rooted) Android-telefoons met een schone installatie kan dit risico beperken. Ontwikkelaars van dergelijke jailbreaks hebben eerder al ingebouwde gevaren ontdekt, zoals de verborgen keylogger van het Amerikaanse bedrijf Carrier IQ. Die 'rootkit' is aanwezig op ruim 140 miljoen mobiele telefoons, waaronder toestellen met Android.

Groter dan pc

Het gebruik van smartphones neemt exponentieel toe. Het aantal verscheepte Android-toestellen was in het vierde kwartaal van vorig jaar groter dan het aantal verscheepte pc's, merken de onderzoekers op. Volgens marktmeter IDC zijn er toen 100,9 miljoen Android-telefoons geleverd en 'slechts' 92,1 miljoen pc's. Daarmee zijn pc's voor het eerst in de geschiedenis voorbijgestreefd door smartphones.