Abonneer je gratis op Techzine!

In alle Android-versies voor Android 2.3.4 is het mogelijk om de authenticatie te onderscheppen die het toestel doet om toegang te krijgen tot de Google-account van de gebruiker. Deze authenticatieverzoeken worden namelijk in sommige gevallen onversleuteld verstuurd. Hierdoor is het voor hackers zeer eenvoudig deze te onderscheppen en zichzelf toegang te verschaffen tot andermans Google-account.

Tot deze conclusie kwamen de onderzoekers van de Universiteit van Ulm. Verschillende Google-applicaties zoals de agenda en de contacten maken in Android gebruik van een token voor gebruikersauthenticatie. Ze versturen deze token echter over een normale HTTP-verbinding en niet over een HTTPS-verbinding. Hierdoor is het mogelijk deze token te onderscheppen en toegang te verkrijgen tot persoonlijke informatie.

De authenticatie verloopt via de ClientLogin-API van Google en geeft gebruikers toegang tot Google-diensten. Ook applicaties die zijn ontwikkeld door derden kunnen gebruik maken van deze API. Uit onderzoek is nu naar voren gekomen dat vrijwel alle Android-versies gebruik maken van het onversleutelde HTTP-protocol. Vanaf versie 2.3.4 en versie 3.0 voor tablets heeft Google dit beter geregeld en wordt er altijd gebruik gemaakt van een HTTPS-verbinding.

Op het moment van schrijven beschikken nog maar weinig toestellen over Android 2.3.4, vrijwel alle toestellen draaien nog op een oudere versie en lopen dus een verhoogd risico. Gezien de smartphonefabrikanten niet bepaald snel zijn met het verspreiden van updates, kan het nog wel even duren voordat de meeste Android-toestellen tegen deze vorm van misbruik zijn beschermd.

De onderzoekers raden aan om geen gebruik te maken van publieke WiFi-hotspots met een Android-telefoon, zolang dit niet is opgelost. Het is namelijk zeer eenvoudig om met een packetsniffer deze authenticatiecodes af te vangen.