Android update opent deur voor malware

Normaal is updaten altijd een goed advies bij veiligheidsproblemen. Maar kwaadaardige apps kunnen het updaten van Android juist misbruiken om het toestel ongemerkt over te nemen met talloze privileges en zelfs systeemapps kapen.

'Toekomstige' rechten en functies te kapen

Apps kunnen zichzelf namelijk 'toekomstige' rechten en functies geven, waarvan de makers weten dat ze pas in recente Android-versies zijn ingevoerd. Als deze apps op devices met een oudere Android-versie (en daarvan zijn er honderden miljoenen) worden geïnstalleerd, dan herkent de Android Package Manager deze permissies niet en negeert ze. De app lijkt dus onschuldig qua permissies.

Als nu het toestel een Android-update krijgt, dan krijgt de voorheen 'slapende' app zonder enige melding ineens allerlei nieuwe permissies en functies. Dit geldt ook voor extreem gevoelige systeemfuncties en -permissies, want de Package Manager geeft reeds geïnstalleerde apps voorrang boven nieuwe systeemapps. Zo kunnen deze legitieme apps worden geblokkeerd en hun permissies gekaapt.

© PXimport

Lijstje van te kapen permissies

Alle versies kwetsbaar, impact onduidelijk

Alle versies en varianten van Android zijn kwetsbaar voor deze bizarre escalatie van permissies, Pileup gedoopt. Dat melden onderzoekers van de universiteit van Indiana en Microsoft in een paper. Het team heeft zes verschillende kwetsbaarheden in kaart gebracht en Google op de hoogte gesteld. Die heeft er inmiddels één van gedicht.

Het is niet duidelijk hoe praktisch de aanval is. De onderzoekers melden wel dat ze eerder zelfontwikkelde Pileup-malware in de Play-store wisten te krijgen. Maar mogelijk kan Google deze Android-gaten afdekken door extra controle door de Play Services-app, net als bij het APK Masterkey-lek vorig jaar. De onderzoekers hebben ook zelf een app ontwikkeld die controleert op deze kwaadaardige kaping van permissies. Google heeft nog niet inhoudelijk gereageerd op vragen van Webwereld.