2min

Het beveiligingsbedrijf Bluebox Labs heeft een groot beveiligingslek gevonden in Android. Hoewel het lek inmiddels al is gedicht door Google in Android 4.4.3, zijn er nog genoeg toestellen die niet over deze versie beschikken. Door dit lek te misbruiken zijn apps in staat zich voor te doen als een andere app, het lek draagt dan ook de naam "Fake ID".

Het beveiligingslek dat door Bluebox Labs is gevonden is zeker geen kleintje. Het was binnen Android mogelijk om een beveiligingscertificaat te vervalsen en een malafide app zich voor te laten doen als een andere app. Waardoor de malafide app toegang krijgt tot alle gegevens van de andere app. Ook zou een malafide app door zich voor te doen als Google veel meer rechten kunnen bemachtigen op een toestel en mogelijk additionele malware installeren. Het probleem zou zitten in de manier waarop de beveiligingscertificaten worden gecontroleerd, welke juist bedoeld zijn om de identiteit van de app te controleren.

Google heeft het lek in Android 4.4.3 gedicht en heeft ook een patch verspreidt voor oudere versies naar alle fabrikanten. In hoeverre deze patches ook daadwerkelijk beschikbaar zijn gekomen is onduidelijk, maar volgens Google’s eigen cijfers draait 82,1 procent nog op een Android-versie die ouder is dan Android 4.4.

Google zelf zegt dat er geen reden is voor paniek, zowel de Google Play-applicatie als de beveiligingsoplossing Verify-apps zijn bijgewerkt om misbruik van dit lek te detecteren en tegen te houden. Daarnaast heeft Google alle applicaties in de Google Play Store gescand om zeker te weten dat er geen app is die misbruik maakt van dit lek.