Twee softwarelekken potentieel gevaarlijk voor miljoenen smartphones

business_trendsTwee Amerikaanse beveiligingsbedrijven hebben, onafhankelijk van elkaar, bekendgemaakt dat zij belangrijke softwarekwetsbaarheden hebben ontdekt waardoor miljoenen gebruikers van smartphones ‘ernstig gevaar kunnen lopen’. Het gaat allereerst om oudere versies van het Android-besturingssysteem van Google. De andere dreiging geldt voor smartphones die door een bredere groep fabrikanten - waaronder Apple, Google en BlackBerry - op de markt zijn gebracht.

De in de Amerikaanse stad Denver gevestigde ICT security specialist Accuvant heeft de noodklok geluid over een kwetsbaarheid die potentieel ‘miljoenen smartphonegebruikers’ kan treffen. Hoewel het bedrijf de precieze details nog niet uit de doeken wil doen, zou het gaat om een lek in een ‘minder bekende industriestandaard’ waarmee zaken worden geregeld als het tot stand brengen van netwerkconnecties en de manier waarop de identiteit van gebruikers wordt geverifieerd. Volgens Mathew Sonik, researcher bij Accuvant, zouden kwaadwillenden hierdoor nagenoeg volledige controle over een smartphone kunnen verkrijgen, waardoor zij bijvoorbeeld opgeslagen gegevens kunnen inzien en wissen. Ook zou het mogelijk zijn voor hackers om op afstand ongemerkt zowel applicaties op het apparaat te installeren als ook die applicaties op te starten.

BlackBerry, de fabrikant van de gelijknamige smartphones, heeft reeds toegegeven op de hoogte te zijn van de door Accuvant ontdekte kwetsbaarheid. Google, maker van het besturingssysteem Android, wil niet ingaan op de uitlatingen van Accuvant. Wel meldt het bedrijf dat het inmiddels een patch heeft gestuurd naar smartphone-fabrikanten. Deze softwareaanpassing zou het ‘gat’ moeten dichten. Het is echter aan de respectievelijke producenten van smartphones om de patch onder hun gebruikers te verspreiden. Volgens een woordvoerder van Google heeft het bedrijf ook de applicaties in de Google Play App-winkel gecontroleerd op kwaadaardige software die van de Accuvant-kwetsbaarheid gebruik zou kunnen maken. “Wij hebben dergelijke apps niet aangetroffen”, aldus de Google-woordvoerder.

Bluebox Security, gevestigd in San Francisco, heeft het tweede ‘lek’ in de publiciteit gebracht. De kwetsbaarheid, ‘Fake ID’ gedoopt, treft in principe slechts smartphones voorzien van Google’s Android besturingssysteem versie 2.1 en ouder. Volgens Bluebox Security is het mogelijk malware te maken die zich via de Fake ID –kwetsbaarheid voordoet als ‘officiële software’ afkomstig van bekende producenten als Adobe en Google. De bewuste kwaardaardige software zou vervolgens vrij spel hebben op de smartphone waar het op wordt geïnstalleerd.

Reactie BTG

Voor Jan van Alphen, woordvoerder van de BTG, de onafhankelijke Nederlandse vereniging van grote telecomafnemers in de profit en non-profit sectoren, komt het nieuws over de twee kwetsbaarheden niet als een volslagen verrassing:

“Ergens vermoedt of weet iedereen die in de ICT werkt wel dat er geregeld informatiebeveiligingslekken opduiken die gedicht moeten worden.”

Hij breekt echter een lans voor een grotere bewustwording bij de grote groep ‘gewone’ gebruikers.

“Feitelijk moet iedere gemiddelde gebruiker zich beter bewust worden van de veiligheidsrisico’s. Zeker nu het gebruik van mobiele apparaten en applicaties gemeengoed is bij een grote groep mensen. Voor bedrijven geldt dat zij de inrichting van hun werkprocessen rond informatiebeveiliging hierop zoveel mogelijk moeten organiseren. Dit is voor een groot deel van zakelijk Nederland een complexe uitdaging.”

Van Alphen ziet in dat verband ook een grote rol weggelegd voor de verschillende marktpartijen:

“Om dit enigszins te kunnen borgen is, het randvoorwaardelijk dat leveranciers hun klanten wereldwijd meer transparantie bieden in de wijze waarop zij risico’s afdekken en geconstateerde veiligheidsproblemen oplossen.”

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.