Android-lek laat apps foto’s maken en uploaden
Er zit een kwetsbaarheid in Android die ervoor kan zorgen dat malafide apps foto’s maken en uploaden zonder toestemming van de gebruiker, meldt Checkmarx. Sinds Android Marshmallow is het zo dat apps om toestemming moeten vragen voor gebruik van telefoononderdelen, maar in dit geval worden er apps gebruikt die al toestemming hebben. Zo wordt deze beveiligingsmaatregel dus omzeild. Apps die kwetsbaar blijken te zijn voor het lek zijn bijvoorbeeld de Google Camera- en Samsung Camera-spps.
Via deze methode worden kwetsbare camera-applicaties gebruikt voor het maken van een foto. Vervolgens kan een malafide app op basis van de exif- en gps-data bepalen waar de gebruiker is. Ook kan de foto geüpload worden naar een server. Hiervoor heeft de schadelijke app wel toegang nodig tot het opslaggeheugen van je telefoon, maar uit onderzoek blijkt dat gebruikers deze vorm van toestemming snel verlenen. Verder is het zo dat zo’n aanval stiekem plaatsvond; als je je telefoon gebruikt, dan zou dat te veel opvallen.
Zowel Google als Samsung hebben inmiddels al oplossingen uitgebracht voor het probleem. De patch is sinds juli beschikbaar voor de Google Camera-spp op Pixel-apparaten en daarna kwam die ook uit voor Samsung-telefoons met Android. Helaas is het niet duidelijk of andere Android-fabrikanten de patch van Google overnemen voor hun toestellen, waardoor het dus kan zijn dat het lek nog steeds aanwezig is op smartphones. Google heeft dit idee bevestigd, maar heeft helaas niet laten weten om welke fabrikanten en smartphones het gaat.
Reacties (0)