Groot lek in Android blootgelegd

androidSecurity specialist Check Point Software Technologies heeft afgelopen donderdagavond aangekondigd dat zijn Mobile Security Research-team een mogelijk lek (kwetsbaarheid), genaamd 'Certifi-gate’, heeft ontdekt in Android devices die gemaakt zijn door grote fabrikanten als LG, Samsung, HTC en ZTE. Het team maakt haar bevindingen vandaag bekend tijdens een sessie op de hackersconferentie Black Hat USA 2015.

Volgens Check Point Software Technologies zorgt Certifi-gate er voor dat applicaties onrechtmatig toegangsrechten krijgen die doorgaans worden gebruikt door remote support-applicaties die ofwel vooraf ofwel persoonlijk zijn geïnstalleerd op het apparaat. Aanvallers kunnen Certifi-gate misbruiken om onbeperkt toegang te krijgen tot apparaten. Zo wordt het mogelijk om onder andere persoonlijke data te stelen, locaties te tracken en microfoons aan te zetten om zo gesprekken op te nemen.
Tot dusver biedt Android-bedenker Google geen oplossing om de certificaten die deze toegangsrechten verlenen in te trekken. Zonder oplossing en zonder patch worden apparaten direct bij het eerste gebruik aan de Certifi-gate-kwetsbaarheid blootgesteld. Alle betrokken leveranciers zijn door Check Point op de hoogte gesteld van Certifi-gate. Volgens het bedrijf zijn diverse fabrikanten inmiddels begonnen met het vrijgeven van updates. Het beveiligingslek is alleen door een apare softwareupdate te verhelpen, aldus Check Point.

Dorit Dor, vice-president Products bij Check Point Software Technologies

'Wereldwijd worden mobiele apparaten iedere dag gebruikt om belangrijke aspecten van het dagelijkse leven te beheren: toegang tot de zakelijke e-mail, het regelen van bankzaken en het tracken van informatie over de gezondheid. Het probleem is dat men te weinig stilstaat bij de veiligheid van hun data. Het gevonden beveiligingslek is gemakkelijk uit te buiten en kan ertoe leiden dat persoonlijke data gestolen en verspreid wordt. Het is tijd dat mobiele beveiliging serieus wordt genomen.'

De oproep van Check Point-topman Dor lijkt inmiddels goed te zijn geland bij Google en fabrikant Samsung. Het tweetal heeft laten weten dat zij voortaan maandelijkse updates voor Android beschikbaar gaan maken.

Adrian Ludwig, hoofd security Android bij Google, erkent:

'Wij hebben ons gerealiseerd dat wij sneller moeten optreden.'

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.