Beveiligingsbedrijf Bluebox Security slaagde erin om een apk-bestand van een Android-app te wijzigen zonder dat de cryptografische handtekening ongeldig werd.

Advertentie

Beveiligingsbedrijf Bluebox Security slaagde erin om een apk-bestand van een Android-app te wijzigen zonder dat de cryptografische handtekening ongeldig werd. Normaal gesproken moet die handtekening juist garanderen dat de inhoud van de app volledig door de makers is gewaarborgd en er daarna niets meer aan is veranderd. Met de exploit van Bluebox kunnen kwaadwilligen dus extra code in een Android-app smokkelen. Google Play, je Android-telefoon en jijzelf merken dan op geen enkele manier dat er iets met de app mis is. En als die app veel machtigingen heeft, kan de gesmokkelde code daar ook van gebruikmaken. Enkele weken na de publicatie door Bluebox vond Symantec al twee apps in Chinese Android-markten die de exploit toepasten.

Meer details over de fout heeft Bluebox vrijgegeven in een presentatie op de conferentie Black Hat USA 2013. Het blijkt dat je een aangepaste Java-classfile aan een apk-bestand kunt toevoegen. Als je die vóór het originele bestand toevoegt, controleerde Android bij het verifiëren van de handtekening de laatste versie van het dubbele bestand, dus het originele. Als de app werd gestart, gebruikte Android echter de eerste versie van het bestand dat het tegenkwam. Door die discrepantie kon je een andere Java-classfile laten uitvoeren zonder dat de handtekening veranderde. 

Critici uit de Android modding community lieten echter weten dat dit bij hen allang bekend was: ze gebruikten die methode al jaren om systeem-apps aan te passen.

De door Bluebox ontdekte fout is al aanwezig sinds Android 1.6 (‘Donut’) en heeft dus impact op elke Android-telefoon van de laatste vier jaar, bijna 900 duizend apparaten. Google heeft ondertussen wel Google Play aangepast, waardoor je enkel nog kwetsbaar bent als je buiten de officiële app-winkel om apps installeert. De app ‘Apps verifiëren’, die Google sinds eind vorig jaar op alle Android-versies vanaf 2.2 met Google Play installeert, biedt ondertussen ook bescherming tegen de fout. En in Android 4.2 is de bescherming nog dieper in het systeem ingebouwd. Of je die laatste fix krijgt, hangt af van de hardwareproducent van je toestel. Veel oudere toestellen zullen dus nooit een fix krijgen. Bluebox heeft een gratis app uitgebracht, waarmee je zelf kunt controleren of je Android-apparaat kwetsbaar is voor de fout. De Bluebox Security Scanner toont je ook welke apps de exploit toepassen als je telefoon is geïnfecteerd.

//bluebox.com/corporate-blog/bluebox-uncovers-android-master-key

Advertentie