Vorige maand stuitte twee onderzoekers op twee ernstige beveiligingslekken bij het besturingssysteem Android. Volgens de onderzoekers heeft Google tot op heden niets gedaan om de gaten te dichten. Door de gevonden bugs kunnen malwareprogramma’s je Android-toestel op afstand overnemen.
Niet één, maar liefst twee bugs ontdekten twee onderzoekers vorige maand toen ze het besturingssysteem van Google testten. De eerste bug is dat het mogelijk is om zonder toestemming van de gebruiker meerdere apps te installeren, terwijl de gebruiker denkt dat er maar één app wordt geïnstalleerd. Door het ontbreken van deze authentificatie creëert Google een kwetsbaarheid voor het besturingssysteem die hackers in staat stelt om zonder medeweten van de eigenaar malware te installeren.
Jon Oberheide, een van de onderzoekers, toonde vorig jaar al het bestaan van deze bug. Hij maakt toen een expansion pack voor Angry Birds en plaatste deze op de Android Market. Zonder dat iemand ervan af wist had hij bij de extra levels drie extra apps geïnstalleerd die zonder medeweten van de eigenaar contactgegevens, locatiegegevens en sms-berichtjes doorstuurde naar een externe server. In een e-mail noemde Oberheide de bug gevaar voor het ecosysteem van Android Market.
De tweede bug die vorige maand werd gemeld heeft betrekking op de Linux-kernel waar Android op is gebouwd. Hiermee is het mogelijk dat hackers het Android-toestel op afstand volledig overnemen. Deze kwetsbaarheid is getest en aangetoond op een aantal Android-smartphones, waaronder de Nexus S van Google.
Google heeft tot op dit moment nog geen commentaar gegeven over de kwetsbaarheden van haar besturingssysteem. Het is en blijft dus nog even de vraag of Google op korte termijn de gaten zal dichten.
Beide onderzoekers willen het probleem onder een breder publiek aan de kaak stellen. Daarom hebben ze de onderstaande video gemaakt.
9 uur geleden
