Veiligheidslek geconstateerd bij bijna alle Android-smartphones – Update

Duitse onderzoekers hebben een belangrijk lek gevonden in het Android OS. Bijna alle versies van het OS zijn vatbaar door een bug die de kop opsteekt wanneer applicaties van Google zelf zich proberen te authenticeren. De applicaties versturen het wachtwoord en de username middels een tekstbestand dat niet gecodeerd is.

Uit het onderzoek blijkt dat bijna alle Android-versies van Google vatbaar zijn voor de exploit. Alle versies, tot en met Android 2.3.3, versturen namelijk tijdens het authenticeren van de applicatie bij Google de inloggegevens via een normaal tekstbestandje. Hierdoor kunnen mensen die een smartphone weten te kapen, erg gemakkelijk achter de inloggegevens van een gebruiker komen. Zo worden de gegevens van de agenda en contacten via een normale http-verbinding verstuurd, in plaats van via https-verbinding. Hierdoor lijkt de meest cruciale informatie van een smartphone met Android erop, zeer slecht beveiligd.

Google heeft het probleem inmiddels verholpen in Android 2.3.4 en 3.0. De gegevens worden in de nieuwste versies van het OS wel via een https-verbinding verstuurd waardoor ze versleuteld zijn. Opvallend is dat applicaties van andere ontwikkelaars verplicht zijn om Google’s ClientLogin-api te gebruiken waarbij de data wel via een https-verbinding verplicht verloopt. Overigens verloopt ook in de nieuwe Android-versies nog niet alle data via een beveiligde verbinding; de Picasa-account data wordt nog steeds via een normale verbinding verstuurd.

Google heeft nog niet gereageerd op het lek, dat pas twee dagen geleden is ontdekt. Probleem is dat men eerst zijn telefoon dient te voorzien van een nieuw Android OS alvorens het probleem opgelost is. Aangezien telefoonproducenten nog steeds over de updates gaan, lijkt het nog wel even te duren voordat het gros van de Android-smartphones beveiligd is.

Update op 18/05/2011 om 19:50 uur:

Google heeft inmiddels toegegeven dat er een lek is. In een verklaring laat de zoekgigant weten dat het een patch op zijn eigen servers gaat uitbrengen die het probleem moet verhelpen. Gebruikers hoeven hiervoor niets te doen. De verklaring van Google is hieronder te lezen.

“Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.”

Bron: Venturebeat

cybersecurity

Maak (geen) kennis met ZooPark: alle enge malware in één lees verder

Android Popsicle

Android P beta nu beschikbaar op 11 smartphones! (Sony, Nokia en meer) lees verder

Beste budgetsmartphones uitgelicht

Telekoopwijzer: de vijf beste budgetsmartphones van dit voorjaar lees verder

headphone jack Samsung Galaxy S7 Edge kopen Samsung Galaxy S8

De Samsung Galaxy S7(Edge) krijgt eindelijk Android Oreo! lees verder

PUBG

Blijf als laatste overeind in PUBG Mobile met deze vijf tips lees verder

Huawei P20 Pro notch

Zo kom je van de notch af op je Android toestel lees verder

Volg ons via

Nieuwsbrief

Want.nl is een samenwerking tussen Wayne Parker Kent en Qontent Matters