Google kan Android-apps ook stiekem installeren

Door: | 28 juni 2010 17:06

Apps & Software

Google kan niet alleen op afstand apps van Android-toestellen verwijderen, maar ook nieuwe apps op deze wijze installeren.

Vorige week gebruikte Google voor het eerst de mogelijkheid om op afstand apps op Android-telefoons te wissen. Het bedrijf verwijderde op die manier twee apps wegens toegang tot privédata. De betreffende apps zijn gemaakt door security-onderzoeker Jon Oberheide voor "onderzoeksdoeleinden". Volgens de internetreus was de beschrijving van de app in Android Market misleidend en bedoeld om meer downloads te genereren.

Man-in-the-middle

Nu blijkt dat Google ook de mogelijkheid heeft op afstand apps toe te voegen aan Android-telefoons. Oberheide schrijft dat deze functie, install_asset, zorgt voor een aantal privacy- en beveiligingsproblemen. Hij vraagt zich bijvoorbeeld af welke rechten de softwaremaker heeft om code op de apparaten van gebruikers te veranderen.

Google gebruikt een GTalkService SSL-verbinding voor de installaties op afstand. Als een aanvaller in staat is om een man-in-the-middle aanval uit te voeren via die verbinding door install_asset-berichten te spoofen kan hij malware installeren op de toestellen. En als de aanvaller om een of andere reden controle krijgt over de GTalkService-servers van Google is de impact volgens Oberheide helemaal niet te overzien.

Bron: Webwereld.nl