Gevoelige data op Android-telefoons zijn mogelijk gestolen vanwege een bug in veel toestellen. Google heeft de bug inmiddels opgelost.
Security-startup Oversecured vond een fout in Play Core, een library die het voor app-ontwikkelaars mogelijk maakt in-app push updates en nieuwe feature modules te implementeren.
Een malafide app kan van de kwetsbaarheid misbruiken indien andere apps dezelfde library gebruiken. Op die manier is gevoelige data als creditcardnummers en wachtwoorden te stelen.
Gemakkelijk te gebruiken
Volgens Oversecured-oprichter Sergey Toshin is het gemakkelijk om deze fout te misbruiken. Zijn bedrijf bouwde een proof of concept app om de kwetsbaarheid op Google Chrome voor Android te testen, die berustte op de gebrekkige library.
De app was in staat om de browsergeschiedenis, login cookies en wachtwoorden te stelen. Toshin stelt dat de bug veelgebruikte Android-apps beïnvloedt.
Google heeft de bug, die een 8.8/10 classificatie kreeg, in maart opgelost. Toshin raadt ontwikkelaars aan de geüpdatete Play Core-library te gebruiken.
19 uur geleden
