Beveiligingslek Android: negen op de tien toestellen kwetsbaar

Gepubliceerd op 28 mei 2020 om 15:06

90% kwetsbaar

Uit onderzoek van Promon en Google blijkt dat alleen apparaten met Android 10 beschermd zijn tegen het StrandHogg 2.0-lek. Versie Android 9.0 (Pie) en ouder zijn wel kwetsbaar. Meer dan negentig procent van de Android-toestellen draait versie 9.0 of ouder, aldus Google. Negen op de tien toestellen is dus kwetsbaar voor dit lek.

Een Noors beveiligingsbedrijf heeft een manier gevonden om een eerder ontdekte kwetsbaarheid in Android gemakkelijker uit te buiten. Het gaat om Strandhogg 2.0, waarmee apps kunnen worden nagebootst om inloggegevens te stelen of permissies over te nemen.

Strandhogg 2.0  nog gemakkelijker

Strandhogg 2.0 werd ontdekt door het Noorse beveiligingsbedrijf Promon en zou een spirituele opvolger zijn van Strandhogg, dat eind vorig jaar werd ontdekt. Strandhogg kon ook permissies van andere Android-apps overnemen. Het huidige onderzoek wijst op een kwetsbaarheid waarmee Strandhogg nog gemakkelijker uit te voeren is.

Dezelfde soort kwetsbaarheid

Strandhogg 2.0 maakt gebruik van dezelfde soort kwetsbaarheid als de originele versie, maar op een andere manier. Bij de originele malware werd een Android-feature genaamd taskAffinity uitgebuit. Die functie is bedoeld om sneller tussen apps te wisselen. Strandhogg is malware die taskAffinity kan gebruiken om een andere app na te bootsen door de packagenaam van een app te kopiëren. Zo kan de app zich bijvoorbeeld voordoen als een nagebootste bankapp, om op die manier inloggegevens te bemachtigen. Ook kon de geïnfecteerde app om bepaalde Android-permissies vragen, waarbij gebruikers dan dachten dat de permissies nodig waren voor de originele app.

Code om gebruiker aan te vallen wordt  achteraf gedownload

De originele Strandhogg was relatief eenvoudig te blokkeren in de Play Store doordat het gebruik van taskAffinity in het Android Manifest moest staan voordat de kwetsbaarheid kon worden uitgebuit. Bij Strandhogg 2.0 gaat misbruik op een andere manier. Daarbij is het volgens Promon niet meer nodig om packages in het Android Manifest te manipuleren. De code om een gebruiker aan te vallen wordt namelijk pas achteraf gedownload.

Geen roottoegang nodig

Strandhogg 2.0 is bovendien wat gemakkelijker uit te buiten doordat de malware geen roottoegang nodig heeft om op de telefoon te draaien. Dat was bij het origineel nog wel een vereiste.

Het beveiligingsbedrijf heeft de kwetsbaarheid aan Google doorgegeven. Dat kwam in de April Update voor Android met een patch. Het lek heeft code CVE-2020-0096 meegekregen. Strandhogg 2.0 is niet uit te buiten op Android 10, maar wel op alle oudere versies.

Bron: Tweakers / Thijs Hofmans, Androidplanet / Rens Blom