Android-bug: Toestel onbruikbaar, DDoS-aanval op Google Play

Abonneer je gratis op Techzine!

Een beveiligingsexpert heeft een kwetsbaarheid in Android ontdekt waarmee apparaten van gebruikers volledig onbruikbaar kunnen worden gemaakt. Door een grote hoeveelheid tekens in een bepaald element van een app in te voeren, kunnen apparaten in een oneindig proces van herstarts terechtkomen. Het is bovendien mogelijk om een DDoS-aanval op Google Play uit te voeren met de kwetsbaarheid.

Het Activity-label van Android kan niet overweg met een groot aantal tekens, dat heeft Ibrahim Balic ontdekt. De kwetsbaarheid is voor hackers makkelijk te misbruiken, wel is het zo dat de applicatie niet in Google Play kan worden geplaatst.

Dit specifieke label is bedoeld voor programmeurs om een bepaald venster een titel te geven. Door dit label te vullen met meer dan 387.000 tekens kan een Android-apparaat volledig over de rooie gaan bij het weergeven van de app. De smartphone of tablet wordt dan gedwongen om opnieuw op te starten.

Er is dus geen malafide code benodigd. Een nietsvermoedende gebruiker kan simpelweg een applicatie downloaden, deze gebruiken en ineens tegen een venster stuiten waarin het probleem wordt misbruikt. Dat veroorzaakt een herstart.

Als de app zo is geschreven dat deze direct bij het opstarten van Android wordt gestart, dan kan het apparaat niks anders meer dan constant herstarten. De enige uitweg is dan het volledig overschrijven van de software, waarbij alle persoonlijke data op het interne geheugen verloren gaat.

Het probleem is in ieder geval aanwezig in Android 2.3, 4.2.2 en 4.3, maar waarschijnlijk zijn er veel meer uitgaven met het probleem.

DDoS-aanval op Google Play

Door een app met de aangepaste code naar Google Play te uploaden kan een DDoS-aanval op de applicatiewinkel worden uitgevoerd. Bouncer, een malware-scanner van Google, kan net als Android niet overweg met deze code en raakt overbelast. Dat betekent dat andere ontwikkelaars hun apps op dat moment niet kunnen uploaden.