Bug zorgt voor groot privacyrisico voor 75% van Android-gebruikers

Er is een kwetsbaarheid in Android gevonden, waardoor het mogelijk is om via Javascript op een site de gegevens en cookies van andere websites uit te lezen. De bug is aanwezig in Android 4.3 Jelly Bean en ouder. De bug is in Android 4.4 KitKat geplet.

Volgens de laatste cijfers van Google zit nog zo’n driekwart van de gebruikers op een versie ouder dan Android 4.4 KitKat. Dat betekent dat driekwart van de gebruikers privacyrisico’s loopt. Beveiligingsexpert Rafay Baloch vond de kwetsbaarheid en stelde vast dat deze -afgezien van KitKat- in alle versies van Android aanwezig is. Mensen die de Chrome-browser gebruikelijk in een oudere versie van Android lopen overigens geen risico omdat de bug ook hier is weggewerkt.

Het is gebruikelijk dat websites toegang hebben tot sitegegevens en cookies, om deze uit te kunnen lezen en eventueel aan te passen, maar dan wel alleen die van het eigen domein. Dankzij een kwetsbaarheid is het via javascript echter mogelijk om ook de data van andere domeinen te benaderen.

De zogeheten same origin policy die ervoor zorgt dat websites alleen eigen gegevens kunnen benaderen wordt uitgeschakeld wanneer bij javascript-code een unicode-karakter wordt gebruikt. Inmiddels is al programmatuur vrijgegeven waarmee de bug eenvoudig te misbruiken is.

Als een gebruiker bijvoorbeeld zijn of haar webmail in een ander tabblad open heeft staan, is de inhoud van het scherm in te zien voor een hacker. Erger nog: de gehele sessie is over te nemen middels een sessiecookie, op die manier kan bijvoorbeeld uit jouw naam e-mail verstuurd worden.