3min

Google heeft met Project Zero een groep hackers in dient die continu op zoek zijn naar lekken in software, als ze deze vinden wordt de ontwikkelaar hiervan op de hoogte gebracht en krijgt deze 90 dagen om de lekken te dichten. Daarna publiceert Project Zero de lekken op het internet.

Project Zero kiest producten uit waar het team van hackers dan onderzoek naar gaat doen om vervolgens de lekken die worden gevonden te meldden bij de ontwikkelaar om ze zo snel mogelijk gedicht te krijgen. Om hier druk op te zetten publiceert Google de lekken automatisch na 90 dagen. Daarna is de informatie dus openbaar en kunnen de lekken worden misbruikt, dit zorgt voor een druk op de ontwikkelaar om de lekken zo spoedig mogelijk te dichten.

Recent is het team aan de slag gegaan met de Galaxy S6 Edge van Samsung en nu is duidelijk geworden dat er maar liefst 11 lekken zijn ontdekt in de software. Het gaat dan om software die Samsung zelf heeft ontwikkeld voor zijn smartphones. Zo zat er een grote bug in WifiHs20UtilityService, deze app kijkt of er zip bestanden staan in de download map en pakt deze automatisch uit. De API van deze applicatie controleert echter geen paden waardoor de applicatie was te manipuleren om ook in andere mappen uit te pakken. Met een simple drive-by download was een toestel op afstand hierdoor te infecteren.

Google meldt dat Samsung dit lek inmiddels heeft gedicht door een SELinux policy-update door te voeren, het is echter onduidelijk of deze app in meer toestellen wordt gebruikt en of het lek daar dan ook is gedicht, waarschijnlijk niet namelijk.

Een ander groot lek werd gevonden in de mailapplicatie van Samsung, een feature waarmee je snel kon reageren beschikte niet over authenticatie, hierdoor was het voor andere apps mogelijk daar misbruik van te maken en alle e-mails te lezen. Verder zijn er nog lekken gevonden in drivers en de manier waarop het toestel om gaat met het weergeven en laden van media. Op dit moment 8 van de 11 lekken gedicht en drie staan er nog open.

Project Zero geeft ook aan dat het tegen enkele beveiligingsmaatregelen is aangelopen die het team flink hebben vertraagd in het vinden van lekken, maar uiteindelijk bleek de beveiliging niet opgewassen tegen Google’s team.

Google geeft hiermee wel een signaal af, Project Zero heeft als doel om software veiliger te maken en het maakt niet uit wie de ontwikkelaar is, iedereen komt aan de beurt. De relatie tussen Google en Microsoft is eerder al op scherp gezet toen Google steeds grote lekken in Windows publiceerde voordat Microsoft klaar was met het ontwikkelen van een patch. Microsoft uitte destijds kritiek op Google, omdat er lekken werden gepubliceerd op de dag voor patch tuesday, de dag dat Microsoft zijn beveiligingsupdates verspreid. Google heeft daarna aangegeven dat die 90 dagen niet helemaal vast staan, met goede argumenten wil Project Zero ook best iets langer wachten, maar niet heel veel langer.

Nu is dus ook Samsung aan de beurt, een fabrikant die voor Google zeer belangrijk is aangezien Samsung de grootste Android-fabrikant is. Samsung heeft echter recent aangekondigd om mee te werken aan Google’s initiatief om maandelijks Android-updates te gaan verspreiden. Samsung doet dat op dit moment echter alleen voor zijn high-end toestellen en nog niet voor het volledige assortiment.