Het beveiligingsbedrijf Bluebox heeft een grote beveiligingslek in het Android-ecosysteem ontdekt dat 99 procent van alle toestellen raakt. Op dit moment zou alleen de Galaxy S4 beveiligd zijn tegen dit lek. Volgens Bluebox is het mogelijk om een APK-bestand (installatiebestand app), aan te passen zonder daarbij de beveiligingssleutel te veranderen.

Beveiligingsbedrijf Bluebox lijkt een groot lek gevonden te hebben, wat bovendien niet zomaar is te dichten. Volgens het bedrijf zijn alle toestellen vanaf Android 1.6 hier gevoelig voor en zou alleen de Galaxy S4 gepatched zijn voor het lek. Het bedrijf heeft Google in februari al op de hoogte gesteld van het lek wat zou kunnen betekenen dat er inmiddels een patch aanwezig is.

Volgens Bluebox is het mogelijk om een APK-bestand aan te passen en hier allerlei code in te stoppen met kwaadwillende doeleinde, zo zou het hele toestel overgenomen kunnen worden, zonder dat de beveiligingsssleutels die op een APK-bestand van toepassing zijn, aan te passen. Waardoor een toestel nog steeds denkt dat het gaat om een legitieme update van een app.

Google zou inmiddels de Play Store al hebben aangepast waardoor het onmogelijk is zo’n aangepaste app via de Play Store te verspreiden maar mogelijk kan de update wel via andere wegen binnenkomen.

Op dit moment is er nog geen malware die hier gebruik van maakt maar mocht dit lek in de toekomst ernstig misbruikt gaan worden dan is dat een groot probleem voor mensen met een Android-toestel dat geen updates meer ontvangt. Zo konden we gisteren melden dat HTC heeft besloten om al na 15 maanden geen updates meer uit te gaan geven voor de HTC One S.