Masterkey-lek Android gepatcht door derden

Abonneer je gratis op Techzine!

Android-gebruikers kunnen zelf actie ondernemen om het masterkey-lek in Google’s mobiele OS te dichten. Northeastern University’s System Security Lab en beveiligingslab Duo Security hebben ReKey uitgebracht dat het lek dicht.

De twee organisaties kondigden dit op dinsdag aan. ReKey is een gratis app bedoeld om het probleem van de masterkey te dichten. Dit probleem zou 900 miljoen Android-apparaten treffen en uitgebuit kunnen worden door aanvallers door volledige controle van de smartphone of tablet over te nemen.

De ReKey-patch werkt echter alleen als het apparaat geroot is. Dit omdat er code in het Android-framework wordt geïnjecteerd. ReKey patcht de ZipEntry- en ZipFile-klassen van Android en voegt een waarschuwing toe die de gebruiker op de hoogte stelt als een app het lek probeert uit te buiten.

De ontwikkelaars claimden in het begin dat het mogelijk zou zijn een app te bouwen die geen root vereist, maar dan zou het er op neer komen dat ze een lek zouden moeten uitbuiten om de patch in Android te injecteren, en dat vonden ze een te groot beveiligingsrisico.

Het masterkeylek werd in februari aan Google gemeld en die dichtte het lek even later. Het uitrollen van de patch gaat echter niet zomaar, gezien telecomproviders en mobiele fabrikanten eerst allemaal de patch moeten testen en goedkeuren. Google zou naar verluidt overigens apps controleren op gebruik van het masterkeylek ingediend in de Play-store, om zou toch het risico te verminderen.

De aanval met de masterkey werkt door aan de .apk een extra veld toe te voegen. Er kunnen dan vervolgens 64 KB aan extra gegevens toegevoegd worden aan de app en zou aanvallers in staat stellen om een legitieme app kwaadaardig te maken door er malware bij te doen.

Meer informatie over ReKey is op de website van de app te vinden.