Een beveiligingsonderzoeker heeft een lek gepubliceerd dat gebruikt kan worden om gegevens van Android-telefoons op afstand te lezen en aan te passen.
De aanval werkt alleen in Android 2.1 of lager. Het lek werd op donderdag in de HouSeCon-conferentie in Houston onthuld. De onderzoeker genaamd M.J. Keith laat weten code te hebben geschreven waarmee hij een simpele commandline-shell in Android uit kan voeren. De gebruiker hoeft hiervoor alleen een website te bezoeken die de aanvalcode bevat.
De bug zit in de WebKit-browser die gebruikt wordt door Android. Google laat weten op de hoogte te zijn van het lek. "We zijn op de hoogte van een probleem in WebKit dat mogelijk impact heeft op oude versies van de Android-browser", zo vertelt een woordvoerder van Google. "Het probleem geldt niet voor Android 2.2 of nieuwere versies."
Versie 2.2 draait echter maar op 36,2 procent van alle Android-telefoons, zo meldt Google. Oudere telefoons, zoals de G1 en de HTC Droid Eris, krijgen mogelijk de bijgewerkte software niet.
De impact van het lek is echter wel beperkt. De aanvaller kan alleen dezelfde data zien als de webbrowser: hij kan geen rootrechten krijgen. Dat betekent dat het waarschijnlijk niet mogelijk is om sms-berichten te versturen en om nummers te bellen, maar via het lek zouden aanvallers wel foto’s kunnen kopiëren en de browsergeschiedenis uit kunnen lezen. "Je hebt volledige toegang over de SD-kaart, dus alles wat daarop staat is eenvoudig te verkrijgen", zo vertelt hij.
Naast dit lek zijn er nog zo’n 88 lekken in de code van Google Android gevonden. Deze lekken komen voort uit een security audit van het bedrijf Coverity. Met deze lekken krijgen aanvallers toegang tot het systeem of aanwezige data. Desalniettemin is Coverty, dat deze lekken heeft gevonden, positief over Android, omdat de concurrendere platformen het niet veel beter doen.
Overigens is alleen het lek van de onderzoeker Keith geheel gepubliceerd. De overige 88 lekken zijn gemeld aan Google zodat dat een oplossing voor de lekken kan maken, nog voordat aanvallers er misbruik van maken.
16 uur geleden
