Ernstig Android-lek maakt ongemerkt apps installeren mogelijk

Nederlandse beveiligingsonderzoekers zijn erin geslaagd ongemerkt een app te installeren op het Android apparaat van een andere gebruiker. De app kon vervolgens ongemerkt en zonder tussenkomst van de gebruiker worden geactiveerd, waarna de onderzoekers de controle overnamen over de smartphone.

Het probleem is ontdekt door Radhesh Krishnan, Victor van der Veen en hoogleraar systeem- en netwerkbeveiliging Herbert Bos van de Vrije Universiteit Amsterdam. Het probleem zit in het feit dat gebruikers via één Google-account meerdere Android-apparaten kunnen beheren. Dit maakt het mogelijk via internet apps te installeren op apparaten, ook als de gebruiker die op dat moment niet in handen heeft. De methode kan worden misbruikt door cybercriminelen, die door een Google-account te kraken apps kunnen installeren op apparaten van slachtoffers.

Twee-factor-authentificatie

Cybercriminelen die de controle over smartphones overnemen kunnen veel schade aanrichten. Zo maakt bijvoorbeeld DigiD gebruik van twee-factor-authentificatie, waarbij gebruikers naast inloggegevens ook een unieke code die op de smartphone wordt afgeleverd moeten invoeren. Door een smartphone te hacken kunnen cybercriminelen deze extra beveiligingslaag omzeilen door de unieke code te onderscheppen. Ook ING maakt als enige Nederlandse bank gebruik van de authentificatiemethode.

Het probleem is al langer bekend; de onderzoekers zeggen Google eind 2014 op de hoogte te hebben gesteld van het ernstige beveiligingslek. Google zou echter geen maatregelen hebben genomen om het probleem op te lossen. Herbert Bos stelt daarom een maand geleden ook het Nationaal Cyber en Security Centrum (NCSC) en het Team High Tech Crime (THTC) van de politie te hebben ingelicht. Ook ING is van het probleem op de hoogte gesteld, en beloofde maatregelen. Het probleem is echter nog steeds niet opgelost, waardoor de onderzoekers zich gedwongen voelen het probleem openbaar te maken.