Android-tweaks van telefoonfabrikanten veroorzaken beveiligingsproblemen

Het open karakter van het Android-besturingssysteem van Google betekent dat fabrikanten hun eigen softwarelaag aan de telefoon kunnen toevoegen, waardoor ze zich kunnen onderscheiden van de rest met een ander uiterlijk en andere functies. Maar nieuw onderzoek toont aan dat een dergelijke aanpassing ook verantwoordelijk kan zijn voor een groot aantal zwakke punten in de beveiliging die telefoons kwetsbaarder kunnen maken voor hackers.





Volgens een onderzoek uitgevoerd door computerwetenschappelijke onderzoekers van de North Carolina State University waren de wijzigingen die fabrikanten aan de stock-Android-software aanbrachten verantwoordelijk voor meer dan 60 procent van de beveiligingsfouten die werden ontdekt in telefoons van verschillende fabrikanten van mobiele telefoons. EEN papier (pdf) over het werk wordt woensdag gepresenteerd op de ACM-conferentie over computer- en communicatiebeveiliging in Berlijn.

We waren verrast door de algehele onzekerheid, zegt een van de auteurs, Xuxian Jiang , een universitair hoofddocent informatica aan de universiteit, die onderzoek doet naar mobiele malware. Jiang ziet het als een indicatie dat sommige telefoonleveranciers beveiliging niet serieus genoeg nemen en dat ze constante druk voelen om nieuwe softwarefuncties op de markt te brengen.

In hun onderzoek keken onderzoekers naar 10 Android-smartphones; vijf draaiden varianten van de vierde generatie Android-software en vijf gebruikten de tweede generatie (tussen die twee bracht Google een versie 3.2 uit, ook wel bekend als Honeycomb, die bedoeld was voor tablets). De onderzoekers testten één handset met elk van de twee Android-versies van Samsung, HTC, LG en Sony, waaronder de populaire Samsung Galaxy S3 en HTC One X, evenals twee handsets van het Google-merk (de Nexus S en Nexus 4, gemaakt door respectievelijk Samsung en LG) die voornamelijk als referentiekader dienden, omdat ze niet dezelfde aangepaste software-skins bevatten die op veel andere Android-handsets worden gevonden.



Om erachter te komen wat de beveiligingsproblemen waren en waar ze vandaan kwamen, verdeelden onderzoekers eerst de apps die op de smartphones werden geladen in drie categorieën. en die van externe programmeurs kwamen.

Vervolgens keken ze naar de gegevens en functies die apps willen gebruiken, bijvoorbeeld de mogelijkheid om toegang te krijgen tot uw foto's of de telefoonnummers van uw contacten te bellen, om erachter te komen welke apps toestemming hebben gevraagd die ze eigenlijk niet gebruikten. Apps met meer rechten dan ze nodig hebben, zijn problematisch omdat ze persoonlijke gegevens zoals gebruikersnamen en creditcardnummers een groter risico kunnen geven om in gevaar te komen als die app wordt gehackt.

De onderzoekers ontdekten dat 86 procent van de apps die vooraf op deze smartphones waren geladen, om meer machtigingen vroegen dan nodig was, en de meeste van de zogenaamde overprivileged apps waren door smartphonemakers toegevoegd als onderdeel van hun aanpassingsprocessen. Omdat ze op een laag niveau met het besturingssysteem zijn geïntegreerd, kunnen apps die door fabrikanten zijn toegevoegd, meer machtigingen krijgen dan die van externe app-ontwikkelaars.



Marc Rogers, hoofdonderzoeker op het gebied van beveiliging bij Lookout, een bedrijf in mobiele beveiligingssoftware, zegt dat het probleem van geprivilegieerde apps veel voorkomt bij app-ontwikkelaars in het algemeen, niet alleen bij specifieke leveranciers. Als je over de markt kijkt, zijn er nogal wat applicaties die dit probleem hebben waarbij de app-ontwikkelaar heeft gezegd: 'Ik zal zoveel mogelijk toestemmingen vragen voor het geval ik ze nodig heb', zegt hij.

Onderzoekers zochten ook naar beveiligingsproblemen waardoor apps zouden kunnen doen alsof ze toestemming hebben om dingen te doen waartoe ze niet zijn geautoriseerd, of waardoor apps gevoelige gebruikersgegevens kunnen delen zonder toestemming.

Over het algemeen stelden onderzoekers vast dat tussen 65 en 85 procent van de 177 beveiligingsproblemen op de Samsung-, HTC- en LG-smartphones voortkwamen uit aanpassingen van de fabrikant; 38 procent van de 16 zwakke punten die op de Sony-smartphones werden aangetroffen, kwam van die bron.



Rogers, die heeft gezien dat aanpassingen van leveranciers in het verleden beveiligingsproblemen hebben veroorzaakt (zoals: een die voortkwam uit Samsung's aanpassing van het Galaxy S3-vergrendelingsscherm), zegt dat ongeacht waar de problemen vandaan komen, elke wijziging in Android-software bijdraagt ​​​​aan fragmentatie van het besturingssysteem en kwetsbaarheden kan introduceren die niet door Google worden bijgehouden.

De onderzoekers van het onderzoek zeggen dat ze geprobeerd hebben smartphonemakers te bereiken om hen te informeren over de beveiligingsproblemen die ze hebben gevonden, maar niet allemaal hebben gereageerd. Smartphone-makers en Google hebben niet gereageerd op verzoeken om commentaar op dit verhaal.

Desalniettemin hoopt Jiang dat het onderzoek leveranciers en gebruikers zal helpen om dergelijke beveiligingsproblemen te herkennen. Hopelijk wordt de volgende generatie telefoons veel veiliger, zegt hij.



zich verstoppen