Het team onderzoekers van de Vrije Universiteit, met onder meer hoogleraar systeem- en netwerkbeveiliging Herbert Bos, geeft PCM nu technische details over de kwetsbaarheid die Android-toestellen raakt. De ontdekking, die ten onrechte als ‘veiligheidslek in het Android-besturingssysteem’ is getypeerd, betreft de mogelijkheid om op afstand en ongezien malafide apps te installeren én te activeren op smartphones en tablets met Google’s besturingssysteem.

Stappenplan en kritiek

Voor het stiekem installeren van kwaadaardige apps op Android-apparaten moet een aanvaller wel eerst enkele stappen doorlopen. Die beginnen met het stelen van inloggegevens voor het Google-account van een gebruiker, wat via een webbrowser op pc of Mac gedaan kan worden. Elke browser kan hierbij ‘benut’ worden, dus niet alleen Google’s eigen Chrome. De kwetsbaarheid heeft dan ook de naam BAndroid gekregen, kort voor Browser-to-Android.

Vervolgens worden de inloggegevens die ook gelden voor Android benut om malafide apps te pushen naar het device van een slachtoffer. Deze apps kunnen ‘van buiten’ komen, maar dan moet de eindgebruiker wel de Android-optie geactiveerd hebben om ‘untrusted sources’ toe te staan voor app-installatie. De apps kunnen ook vanuit de Google Play appstore komen, waar Google normaliter controleert op security. De onderzoekers hebben echter eigen kwaadaardige apps ge-upload, zonder dat Google dat ontdekte.

Normaliter zijn er ook enkele beperkingen voor het zomaar installeren van apps. Ten eerste zou de gebruiker een notificatie moeten krijgen dat de app geïnstalleerd wordt. Ten tweede zou het icoon van een app dan zichtbaar zijn. En ten derde hoort een app standaard niet geactiveerd te zijn totdat de gebruiker de app zelf start. Deze opeenvolging van vereisten heeft ervoor gezorgd dat veel security-experts de door de Volkskrant onthulde ontdekking hebben bekritiseerd als een overtrokken alarmmelding.

Technische toelichting

Het VU-team pareert de kritiek op hun aaneenschakeling van stappen nu met een technische toelichting op hun ontdekking. Het hacken van een browser is op een goed gepatched systeem minder makkelijk dan vroeger, erkennen de onderzoekers. Maar veel cybercriminelen vertrouwen op het feit dat niet elke gebruiker netjes uptodate is waardoor exploits voor ‘oudere’ kwetsbaarheden prima werken. Daarnaast zijn er andere mogelijkheden, bijvoorbeeld gebruikers zover krijgen om vermomde malware te installeren die dan de Google-inloggegevens buitmaken.

De onderzoekers merken op dat zogeheten Man-in-the-Browser (MitB) functionaliteit standaard is voor alle bestaande Trojans die uit zijn op internetbankieren, zoals Zeus, SpyEye, Dyre, Dridex en Carberp. Deze malware is wereldwijd goed voor miljoenen infecties. Veel betalingssystemen zijn - mede in reactie op dergelijke financieel gerichte malware - overgegaan op two-factor authenticatie (2FA)  waarbij juist sms-berichten naar een smartphone dienen als tweede factor voor de identiteitscontrole van de gebruiker.

Ongeziene apps activeren

De mogelijkheid om ongezien malafide apps op een Android-toestel te krijgen en die ook ongemerkt te activeren, compromitteert deze 2FA-aanpak. Kwaadaardige apps kunnen immers sms-berichten en TAN-codes daarin onderscheppen en doorsturen naar de cybercriminelen. De VU-wetenschappers leggen in hun technische FAQ uit dat zij erin geslaagd zijn om eigen schimmige apps in de Google Play appstore te krijgen, net als eerder andere security-onderzoekers. De apps-controle (Bouncer) van Google blijkt te foppen, aldus de Nederlandse onderzoekers die hun methode daarvoor nog niet uit de doeken doen.

Verder weten de BAndroid-ontdekkers hun schimmige apps zonder permissie van de gebruiker en zonder zichtbaar app-icoon te installeren. De gebruiker krijgt tijdens het downloaden en installeren wel even een notificatie daarvan te zien. Echter, het feit dat de app is geïnstalleerd valt alleen te zien als het slachter het notificatiescherm expliciet opent of wanneer hij/zij het totale apps-overzicht bekijkt. Op het home-scherm en in de app-launcher is de app niet te zien. “We betwijfelen dat het app-installatieproces wordt opgemerkt door een gewone gebruiker”, stelt Bos. "Zeker als je het bijvoorbeeld 's nachts doet", voegt hij nog toe in een nagekomen reactie aan PCM.

Aaneenrijging van zwakke plekken

Vervolgens gebruiken de onderzoekers andere zwakke plekken, waaronder ook een zelf ontdekte kwetsbaarheid die bij Google nog niet bekend was. Daarmee konden zij ervoor zorgen dat hun apps worden geactiveerd zonder dat de gebruiker de onzichtbare app zelf hoeft te starten. Dit kan via een malafide bookmark, die dankbaar gebruik maakt van Google's synchronisatie van bookmarks tussen pc's en Androids. Daarlangs kunnen alle bookmarks worden vervangen door malafide exemplaren waarvan elk gebruik dan zorgt voor onzichtbare activatie van de verborgen app.

De hierboven gelinkte browserkwetsbaarheid zit in Android-versies van vóór 4.4 (KitKat), die in de praktijk nog veel in gebruik zijn. Uit metingen van Google zelf blijkt dat oude versies tot aan KitKat wereldwijd goed zijn voor 48,4 procent van alle actieve Androids. Veel oudere toestellen krijgen geen updates naar nieuwere, veiligere Android-versies. Hoogleraar Bos laat in een nagekomen reactie nog weten dat de onderzoekers hun stille app-installatie en -activering hebben uitgevoerd op Android-versies 4.4.4 en 5.0. Het zijn dus niet alleen de oudere Androids die kwetsbaar zijn.

De aanlokkelijke buit

Tot slot is er de kritiek dat de eerste stap in dit complexe hackverhaal eigenlijk kwaadwillenden al genoeg macht geeft. Namelijk het buitmaken van inloggegevens voor het universele Google-account, waar ook Android-devices van het slachtoffer onder vallen. De VU-onderzoekers erkennen dat dit een valide punt van zorg is: alleen al het stelen van een Google-account geeft aanvallers al veel mogelijkheden. “Tot op heden zou ze dat echter geen controle geven over de mobiele devices van hun slachtoffers.”

Immers, een MitB-hack op een pc of Mac is beperkt tot die betreffende computer. De hele keten waar BAndroid op neerkomt, maakt het mogelijk om ‘over te springen’ naar Android-smartphones waar 2FA voor bijvoorbeeld internetbankieren valt te pakken. Dat is een financieel aantrekkelijke buit voor cybercriminelen. De onderzoekers van de Vrije Universiteit hebben eind vorig jaar Google al ingelicht over hun ontdekking.

Gewaarschuwd

Daarnaast zijn Nederlandse instanties als het Team High Tech Crime (THTC) van de politie, het centrale overheidsorgaan voor ICT-security NCSC (Nationaal Cyber en Security Centrum) en banken gewaarschuwd voor deze kwetsbaarheid. Ondertussen heeft Google de methode voor het ongeziene app-activeren aangemerkt als een interne bug. Mogelijk dat dit dus in een Android-update wordt gefixt. De vraag is of die patch ook breed uitkomt voor oudere Android-versies. De onderzoekers dragen nu in hun technische FAQ wel enkele beschermingsmaatregelen aan voor gebruikers.

Update 15:40 uur

Link naar de technische FAQ toegevoegd, plus enkele verduidelijkingen dankzij nagekomen reactie van de VU-onderzoekers.