Masterkey-lek terug in Android 4.4 KitKat

Abonneer je gratis op Techzine!

Het beveiligingen dat bekend staat als het Masterkey-lek is door kwaadwillenden weer te misbruiken in het nieuwe Android 4.4 KitKat. Eerder werd dit lek gedicht in Android 4.3 Jelly Bean.

Het Masterkey-lek werd afgelopen juli voor het eerst ontdekt en bleek al sinds Android 1.6 in het besturingssysteem te zitten. Toentertijd werd er middels een update van Android 4.3 Jelly Bean een oplossing voor uitgebracht. Android 4.3 Jelly Bean is sinds gisteren in Nederland beschikbaar voor de HTC One en de Samsung Galaxy S4.

Afgelopen week kwam de nieuwste versie van Android uit; Android 4.4 KitKat. Website Security Affairs ontdekt nu dat het eerder gedichte lek weer in de nieuwe versie van Android verscholen zit.

Door misbruik te maken van het lek kunnen kwaadwillenden malware toevoegen aan applicatie-updates. Normaalgesproken zou hierdoor de digitale handtekening verbroken worden, maar deze blijft door de kwetsbaarheid gewoon intact. Deze handtekening wordt gebruikt om de veiligheid van de app te garanderen. Doordat de handtekening behouden blijft kan de veiligheid van app-updates niet altijd meer gegarandeerd worden.

Volgens Security Affairs is het lek ditmaal minder groot dan bij eerdere versies van Android, maar kan er nog steeds misbruik van gemaakt worden en de versleuteling van de handtekening gepasseerd worden na het implementeren van eigen code.

Google heeft al eerder aangegeven dat er regelmatig scans worden gedaan van apps in de Play Store, waardoor misbruik van de Masterkey-lek opgespoord wordt. Bij deze applicatiewinkel hoeven gebruikers zich dan ook niet al te druk te maken om geïnfecteerde apps te downloaden en dit geldt ook voor de variant voor Amazon’s tablets.

Er wordt wel risico gelopen wanneer een app geïnstalleerd wordt van buiten deze winkels . Hierin kan er wel betrekkelijk eenvoudig misbruik worden gemaakt van het lek.