Browserexploit voor Android belicht het updateprobleem van Google

Een beveiligingsonderzoeker heeft een manier ontdekt om ongeveer 70 procent van de Android-apparaten over te nemen via een webpagina of app. Het is niet bekend of iemand de exploit daadwerkelijk gebruikt om de telefoons van mensen aan te vallen, maar de bevindingen van de onderzoeker herinneren er niettemin aan dat Google met toenemende hoofdpijn wordt geconfronteerd omdat het geen enkele manier heeft om beveiligingsupdates effectief te distribueren naar de honderden miljoenen apparaten waarop zijn software wereldwijd wordt uitgevoerd. Veel van die apparaten hebben verouderde versies van Android.





De nieuwe exploit is ontwikkeld door Joe Vennix, een software-engineer bij beveiligingsbedrijf Rapid7 , wie vorige week de exploit toegevoegd naar het bedrijf Metasploit software die wordt gebruikt om apparaten en systemen te testen op bekende kwetsbaarheden. Zijn code maakt gebruik van een bug, voor het eerst onthuld in December 2012 , in de webbrowser die in Android is ingebouwd. De exploit kan worden gebruikt om een ​​telefoon over te nemen nadat iemand naar een webpagina is geleid waarin de kwaadaardige code is ingesloten, of door de code te leveren via een app, waarvan vele inhoud zoals advertenties weergeven met behulp van de browsermogelijkheden van Android. Vennix vond dat één Baidu-app , was bijvoorbeeld kwetsbaar voor de exploit wanneer deze werd geïnstalleerd op een apparaat met de versie van Android die in december 2013 werd uitgebracht. Een andere onderzoeker ontdekte dat de exploit werkt op Google Glass .

Vennix schat dat 70 procent van de Android-apparaten kwetsbaar is voor misbruik, op basis van: Google's cijfers voor het aandeel apparaten met verschillende versies van Android. En cruciaal, hoewel Google in november 2012 een nieuwe versie van Android heeft uitgebracht met een oplossing voor de onderliggende bug, zullen de meeste apparaten waarop de software wordt uitgevoerd, waarschijnlijk kwetsbaar blijven voor de aanval zolang ze in gebruik zijn, omdat ze niet worden bijgewerkt.

Google heeft veel fabrikanten overtuigd om Android op hun producten te installeren, maar weinigen zijn er snel bij om nieuwe versies van de software uit te rollen. Google heeft ook geen mechanisme om updates rechtstreeks naar apparaten te pushen, zoals die welke zijn ingebouwd in desktopbesturingssystemen, waaronder Microsoft Windows of Mac OS.



Dat beperkt het vermogen van Google om nieuwe functies en beveiligingspatches uit te brengen naar apparaten waarop zijn software wordt uitgevoerd. Het bedrijf heeft tot nu toe weinig succes gehad met het aanpakken van het probleem. In mei 2011 kondigde Google bijvoorbeeld de Android Upgrade Alliance aan, waarbij draadloze providers Android-updates snel zouden uitrollen gedurende de eerste 18 maanden van het leven van een apparaat. Maar het project strandde en is niet langer actief. Google heeft niet gereageerd op een verzoek om commentaar.

Meer recentelijk heeft Google geprobeerd providers te omzeilen door sommige functies van Android naar afzonderlijke apps te verplaatsen, die door gebruikers kunnen worden bijgewerkt via de Play-app store van het bedrijf. YouTube, Gmail en Google Search waren bijvoorbeeld vroeger ingebouwd in de Android-software, maar zijn nu aparte apps; Google kan functie-updates en beveiligingsoplossingen naar deze apps pushen zonder met een ander bedrijf samen te hoeven werken. In de meest recente versies van Android is de ingebouwde browsercode verborgen voor gebruikers die in plaats daarvan een mobiele app-versie van de Chrome-desktopbrowser van Google gebruiken.

Die aanpak dekt echter niet de kern van de Android-software en kan de door Rapid7 ontdekte bug niet oplossen. Dirk Sigurdson, technisch directeur van Rapid7's product om mobiele apparaten te beschermen, Mobilesafe, zegt dat apparaten die zijn gekocht van andere bedrijven dan Google niet als veilig kunnen worden beschouwd. De beste gok voor nu is om Google Nexus- of Google Play-editie-apparaten te kopen, die veel sneller worden bijgewerkt met de nieuwste Android-releases, zegt hij.



Sinds de lancering van de software in oktober 2008 zijn er meer dan een miljard Android-apparaten geactiveerd. volgens Google . Android-apparaten worden nauwelijks zo geplaagd door malware als pc's, en het gebruik van app stores helpt de verspreiding van kwaadaardige code te beperken. Toch neemt de incidentie van malware toe en zal naar verwachting aanzienlijk erger worden (zie Aanvallen op Android intensiveren en nieuwe bedrijfsmodellen voor malware om pc-beveiligingsproblemen naar mobiel te brengen).

Nadat het Windows-besturingssysteem van Microsoft het slachtoffer was geworden van een breed scala aan malware, zette het bedrijf een systeem op waarbij voortdurend beveiligingsupdates werden ontwikkeld en naar pc's werden uitgerold. Apple gebruikt een vergelijkbaar model om zijn mobiele apparaten up-to-date te houden. In september bijvoorbeeld, slechts een week nadat een bug was ontdekt waardoor iemand omzeil het vergrendelscherm van een iPhone , het bedrijf een fix uitgerold .

Die aanpak zou Android ook kunnen helpen, zegt beveiligingsadviseur Graham Cluley, maar het is onwaarschijnlijk dat het aantrekkelijk is voor Google vanwege de manier waarop het Android gratis weggeeft en apparaatfabrikanten en mobiele providers de software laat aanpassen. Het fundamentele probleem, vermoed ik, is dat ze geen controle hebben over de hardware en software, zegt hij. Hoewel al deze apparaten Android gebruiken, hebben ze verschillende getweakte versies met verschillende gebruikersinterfaces en add-ons.



Een van de redenen waarom bedrijven de updates van Google vandaag niet doorgeven aan Android, is dat het werk kost om ervoor te zorgen dat die aanpassingen nog steeds correct werken op een nieuwe versie. Automatische updates kunnen de eigen Android-aanpassingen van een bedrijf doorbreken, zegt Cluley.

zich verstoppen