Experts: 'APK Master Key'-lek raakt vooral oude Androids
De gisteren bekend gemaakte APK-exploit voor vrijwel alle Androids, gaat vooral oudere toestellen (Android 2.x) raken.
De gisteren bekend gemaakte APK-exploit voor vrijwel alle Androids gaat vooral oudere toestellen (Android 2.x) raken. Beveiligingsexperts zijn bang dat firmware-updates niet tijdig worden uitgerold. Google hult zich in stilzwijgen.
Experts: 'APK Master Key'-lek raakt vooral oude Androids
De gisteren bekend gemaakte APK-exploit voor vrijwel alle Androids gaat vooral oudere toestellen (Android 2.x) raken. Beveiligingsexperts zijn bang dat firmware-updates niet tijdig worden uitgerold. Google hult zich in stilzwijgen.
Beveiligingsonderzoekers zijn het erover eens dat het APK-lek in Android dat donderdag bekend werd, vooral een potentieel gevaar is voor oudere toestellen. Experts van Kaspersky en GData zijn blij dat het lek tijdig is gemeld bij Google maar wijzen op de grote kans dat toestellen waarop oudere Android-versies draaien kwetsbaar blijven. Ook al brengt Google een update uit voor oude Android-versies, dan is de kans klein dat fabrikanten en operators die breed uitrollen.
Zij zijn dan ook benieuwd naar het officiële statement van Google, dat ook een dag later nog steeds geen reactie wil geven op de onthulling. Securityleverancier McAfee houdt tot die tijd een slag om de arm en adviseert om ieder geval geen apps te installeren vanaf app-markten van derde partijen.
Het door startup Bluebox onthulde lek zou volgens beveiligingsonderzoekers van dat bedrijf 99 procent van alle Androids treffen. De werkende exploit kan de APK-code (Application Package Files) van een Android-app ongemerkt wijzigen. Dat betekent dat ook de cryptografische handtekening die controleert of een app betrouwbaar is, kan worden omzeild. Daardoor denkt Android dat een geïnfecteerde applicatie veilig is en heeft malware vervolgens een vrijbrief op het toestel.
Uitrol firmware is het probleem
“Dit is een techniek die we al kennen van Windows-pc’s. Vanwege het signeren zou dit eenmaal effectief een ernstig probleem zijn. De dreiging van dit lek zou groot geweest zijn wanneer het direct publiek bekend getoond werd. Het is dan ook perfect dat Google al een tijd op de hoogte is. Toch is dit een belangrijk lek waar iets aan gedaan moet worden ”, stelt Eddy Willems, security evangelist van beveiliger G Data.
Zijn collega bij Kaspersky is het hiermee eens. “Als de bekendmaker geen verantwoordelijk had genomen, was de dreiging inderdaad meer serieus. Gelukkig is Google al in februari op de hoogte gesteld. Daardoor zijn updates die de bug ongedaan maken uitgerold naar fabrikanten, aangezien in dit geval de firmware moet worden geüpdatet”, concludeert security-researcher Stefano Ortolani van Kaspersky Lab.
Toch kunnen we er niet vanuit gaan dat alle fabrikanten deze updates snel uitrollen. Ortolani: “Dit is iets waar Google zich de laatste tijd veel zorgen om maakt. Het is aan de fabrikanten om updates naar de eindgebruikers te pushen. Het kan in twijfel getrokken worden dat oude toestellen, waarvan het onwaarschijnlijk is dat deze updates ontvangen, veilig zijn.”
‘Google heeft oplossing gereed’
Willems denkt daarbij aan Android-versies Eclair en Froyo. “Ik ben vooral bang voor oudere toestellen draaiend op Android 2.1 en 2.2, die nog volop gebruikt worden. Zij kunnen door het uitblijven van updates uiteindelijk slachtoffer blijven. De nieuwe toestellen met de laatste Android-versie niet. Ik ben er 100 procent van overtuigd dat Google hier al naar gekeken heeft en een oplossing gereed heeft. Die zit misschien al in een update.”
Zolang Google de kaken stijf houdt, valt volgens securitybedrijf McAfee nog weinig te zeggen over de impact van het lek. “Wij kunnen op dit moment nog niet aangeven hoe ernstig deze kwetsbaarheid is. Omdat er nog niet voldoende informatie bekend is, kunnen we op dit moment nog niet aangeven hoe ernstig deze kwetsbaarheid is”, aldus McAfee in een reactie aan Webwereld.
Check door eindgebruiker onmogelijk
Gebruikers kunnen tot die tijd ook niet checken of hun telefoon besmet is, legt Willems uit. “Dit is geen malware, maar een lek. Die kan wel misbruikt worden door nieuwe malware, maar dat kun je nu niet zien. Maar als het signeren van de APK niets meer waard is, wordt dat een reëel probleem.”
De drie securitybedrijven raden daarnaast alle gebruikers sowieso af om apps buiten de Google Play Store om te installeren. Een advies dat gezien het malware-verleden van Android permanent aan te raden valt. De Play Store zelf is volgens Bluebox-CEO Jeff Forristal door Google inmiddels gewapend tegen dit specifieke APK-lek.
Gulzig met permissie
Updaten is het devies. Ortolani: “Zoals altijd: updaten, updaten, updaten! Vermijdt het gebruik van third-party stores en kijk ook altijd aandachtig naar de toestemmingen die je een applicatie geeft bij het installeren. Vertrouw applicaties die te gulzig zijn op het gebied van permissie nooit. Hou daarnaast je antivirus up-to-date en root je Android nooit.”
Zowel McAfee, Kaspersky als GData zijn de afgelopen tijd niet op de hoogste gesteld. Willems: “Wij hebben niets van Google gehoord, al gebeurt dit soms wel. Ik pleit al langer voor platform waarop alle beveiligingsbedrijven standaard worden geïnformeerd over beveiligingslekken. Niet alleen door Google, maar door alle partijen.”
ryther, op W8 phone krijg je precies te zien welke rechten een app wil hebben.
Aangezien het grootste deel van de android toestellen draait op deze kwetsbare versie is het dus gewoonweg een groot probleem.
[Link]
@ elbo
"maar met rooten zet je ook wel weer de deur wagenweid open"
.
Iedereen die zijn/haar Android root, behoort te weten dat hij/zij de Superuser of SuperSu app dient te installeren voor het beheren van apps die root toegang willen. Als een app bij de installatie root-toegang nodig heeft, dan moet je die root-toegang via Superuser of SuperSu verlenen.
.
"alleen bij Android is het 'accepteer alle rechten of je krijgt de app niet'"
.
Kul, dat gebeurt bij WP en iOS ook. Het verschil is dat gebruikers op die platformen niet te zien krijgen welke rechten een app nodig heeft.
.
.
Overigens kunnen apps van onbekende bron via Google gecontroleerd worden:
.
[Link]
"Als u appverificatie wilt beheren, gaat u naar het menu met apps van uw apparaat en raakt u Google-instellingen Apps verifiëren aan. Raak het vakje naast 'Apps verifiëren' aan; de instelling wordt ingeschakeld als het vinkje wordt weergegeven. Als op uw apparaat Android 4.2 of hoger wordt gebruikt, kunt u ook naar Instellingen Beveiliging Apps verifiëren gaan."
@johanw. Rooten van een Android telefoon is helaas noodzaak om de boel een beetje veilig te houden, maar met rooten zet je ook wel weer de deur wagenweid open. Een beetje het zelfde als zo dom zijn om op windows als administrator te werken (wat met XP eigenlijk de enige manier was om prettig te werken).
Werkt LBE trouwens al weer op Android 4.1? De laatste keer dat ik het probeerde crashte je hele telefoon zodra LBE opstartte.
Maar LBE is allemaal leuk en aardig en een must have op Android, maar het is natuurlijk van de zotte dat een modern OS niet de gebruiker de rechten laat bepalen. In Windows kan dat, in Linux, in OSX, in IOS, alleen bij Android is het 'accepteer alle rechten of je krijgt de app niet'. En de gemiddelde gebruiker klikt al snel op een app zonder te kijken welke rechten daar bij horen.
Wat een kuladvies. Root je telefoon juist wel, zodat je echte beveiligingssoftware kunt installeren als LBE zodat je per programma de toegang tot bepaalde zaken kunt dichtgooien, ook al heeft het toegang gekregen bij het installeren. Omdat dat de datahonger van Google en andere reclamebedrijven zelf tegenwerkt zal Google zoiets niet gauw zelf implementeren waardoor 3rd party tools noodzakelijk blijven, en omdat Google dit soort software samen met addblockers van hun playstore weert is het advies om alleen daarvan software te installeren ook niet echt handig.
Quote: "Vermijdt het gebruik van third-party stores en kijk ook altijd aandachtig naar de toestemmingen die je een applicatie geeft bij het installeren. Vertrouw applicaties die te gulzig zijn op het gebied van permissie nooit."
Makkelijker gezegd dan gedaan. Dan kan ik zelfs een app van de ANWB al niet meer vertrouwen! Het is sowieso al belachelijk hoeveel info de meeste apps (kunnen) verzamelen, terwijl dat voor hun werking meestal niet noodzakelijk is.
Android apps buiten de Google play store om installeren is populair omdat men zo illegaal betaalde apps gratis kan downloaden.
Google kan toch delen van het systeem via de app store updaten? Net zoals een megeleverde google Talk nu Hangout geworden is?
overigens is alleen Gogle Play store wel erg kortzichtig, mensen met een kindle Fire bijvoorbeeld hebben de Amazon app store, is die dan zo slecht of onbetrouwbaar?
Reageer
Preview