Veiligheidslek geconstateerd bij bijna alle Android-smartphones – Update

Duitse onderzoekers hebben een belangrijk lek gevonden in het Android OS. Bijna alle versies van het OS zijn vatbaar door een bug die de kop opsteekt wanneer applicaties van Google zelf zich proberen te authenticeren. De applicaties versturen het wachtwoord en de username middels een tekstbestand dat niet gecodeerd is.

Uit het onderzoek blijkt dat bijna alle Android-versies van Google vatbaar zijn voor de exploit. Alle versies, tot en met Android 2.3.3, versturen namelijk tijdens het authenticeren van de applicatie bij Google de inloggegevens via een normaal tekstbestandje. Hierdoor kunnen mensen die een smartphone weten te kapen, erg gemakkelijk achter de inloggegevens van een gebruiker komen. Zo worden de gegevens van de agenda en contacten via een normale http-verbinding verstuurd, in plaats van via https-verbinding. Hierdoor lijkt de meest cruciale informatie van een smartphone met Android erop, zeer slecht beveiligd.

Google heeft het probleem inmiddels verholpen in Android 2.3.4 en 3.0. De gegevens worden in de nieuwste versies van het OS wel via een https-verbinding verstuurd waardoor ze versleuteld zijn. Opvallend is dat applicaties van andere ontwikkelaars verplicht zijn om Google’s ClientLogin-api te gebruiken waarbij de data wel via een https-verbinding verplicht verloopt. Overigens verloopt ook in de nieuwe Android-versies nog niet alle data via een beveiligde verbinding; de Picasa-account data wordt nog steeds via een normale verbinding verstuurd.

Google heeft nog niet gereageerd op het lek, dat pas twee dagen geleden is ontdekt. Probleem is dat men eerst zijn telefoon dient te voorzien van een nieuw Android OS alvorens het probleem opgelost is. Aangezien telefoonproducenten nog steeds over de updates gaan, lijkt het nog wel even te duren voordat het gros van de Android-smartphones beveiligd is.

Update op 18/05/2011 om 19:50 uur:

Google heeft inmiddels toegegeven dat er een lek is. In een verklaring laat de zoekgigant weten dat het een patch op zijn eigen servers gaat uitbrengen die het probleem moet verhelpen. Gebruikers hoeven hiervoor niets te doen. De verklaring van Google is hieronder te lezen.

“Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.”

Bron: Venturebeat

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

  1. gwystyl2 -

    Waarom is hier een volledige update voor nodig? Is het bij Android niet mogelijk om gewoon een patch toe te passen zoals dat bijvoorbeeld bij Windows gebeurt?

Meld je aan voor onze nieuwsbrief!

Contact met ons?

  • Qontent Matters
  • Czaar Peterstraat 159
  • 1018 PJ Amsterdam

Volg ons via