2min Security

Google komt met OTA-patch voor Android-lek

Google heeft besloten om snel te handelen naar aanleiding van het lek dat is gevonden in het Android-authenticatiesysteem. Aanstaande woensdag begint Google met het verspreiden van een patch voor Android-versies ouder dan 2.3.4. Gebruikers hoeven hier niets voor te doen: de patch wordt over-the-air verspreid.

Google komt met OTA-patch voor Android-lekEr zijn ook meldingen dat Picasa gebruik zou maken van een onveilige manier van authenticatie. Google heeft dat op dit moment nog niet kunnen vaststellen en onderzoekt dit nog. Picasa zal daarom niet worden meegenomen in de patch van aanstaande woensdag.

De enige Android-versies die niet gevoelig zijn voor dit lek zijn 2.3.4 en 3.0. Echter, 99 procent van de Android-devices die in de omloop zijn draaien op een oudere versie.

Het probleem van dit lek is dat toestellen die verbonden zijn met openbare WiFi-netwerken op deze manier makkelijk het slachtoffer kunnen worden van kwaadwillende. Op het moment dat het toestel om authenticatie vraagt bij de Google-servers worden deze authenticatiesleutels zonder enige vorm van encryptie over de lijn gestuurd waardoor deze makkelijk te achterhalen zijn voor kwaadwillende. Met deze sleutels kan vervolgens toegang worden gekregen tot de Google-account die is gekoppeld aan het toestel.

De grote vraag en misschien ook wel test voor Google zal zijn of zo’n patch voor zoveel verschillende toestellen en Android-versies in één keer goed gaat werken. Veel fabrikanten hebben Android aangepast waardoor er eigenlijk een hele hoop verschillende Android-versies in omloop zijn. De patch die Google vanaf woensdag gaat verspreiden, heeft alleen impact op de Google-API. Dit zou in theorie dus geen problemen moeten opleveren. Wel bestaat de kans dat sommige apps net even iets trager werken doordat er straks van een HTTPS-verbinding gebruik wordt gemaakt in plaats van een HTTP-verbinding, welke in de praktijk net even iets trager is.