1 min

Tags in dit artikel

, ,

Gal Beniamini, een Israelische beveiligingsonderzoeker, heeft twee serieuze beveiligingslekken in de versleuteling van Android gevonden. Google heeft de problemen inmiddels opgelost, maar veel toestellen zijn op dit moment nog kwetsbaar.

De problemen in de beveiliging zorgen ervoor dat het mogelijk is om de encryptiesleutels van een toestel te bemachtigen. In combinatie met het wachtwoord van de gebruiker kan de encryptie van Android uitgeschakeld worden. Door de versleuteling uit te schakelen zijn alle bestanden op een Android-apparaat uit te lezen.

Google werd op de hoogte gesteld van de kwetsbaarheden in de versleuteling van Android. De zoekgigant loste de problemen op met patches in januari en mei, maar volgens Duo Security is de oplossing pas bij 63 procent van alle toestellen geïnstalleerd. Dit komt doordat Android-fabrikanten updates doorgaans traag of zelfs niet beschikbaar stellen.

Daarnaast is het volgens Beniamini ook mogelijk om Android-toestellen te downgraden naar een softwareversie waarbij het probleem nog aanwezig is. Dit zou mogelijk zijn wanneer de bootloader van het toestel ontgrendeld is of ontgrendeld kan worden.

De versleuteling van Android wordt door zowel soft- als hardware verzorgd. Daardoor is het lastiger om eventuele problemen op te lossen, omdat de hardware uiteraard niet aangepast kan worden. De lekken worden gedeeltelijk veroorzaakt door TrustZone, een beveiligingssysteem van ARM. Hardware van ARM wordt in vrijwel alle chipsets in Android-toestellen gebruikt.