Computerwetenschappers aan de Riverside-universiteit van Californië in de VS ontwikkelden een methode waarbij ze zowat alle Androidapplicaties kunnen hacken, en gevoelige informatie kunnen stelen, met een ongezien hoge succesratio. De onderzoekers zijn bovendien van mening dat de kwetsbaarheid die ze blootlegden zich niet beperkt tot Googles besturingssysteem. Ook iOS en Windows Phone zouden kwetsbaar zijn.

App zonder toestemmingen

De aanval die het team bedacht wordt uitgevoerd met een app die het slachtoffer zelf moet downloaden. De kwaadaardige code kan verwerkt worden in zowat elke onschuldige app, zoals een spelletje of software om je telefoonachtergrond te wijzigen. Wie slim is, en geen apps downloadt die je vreemde toestemmingen moet geven, is eraan voor de moeite. De enige toestemming die de hack-app in kwestie nodig heeft is een internetverbinding, om buitgemaakte informatie naar de aanvaller te sturen.

Dat komt doordat de app informatie steelt via het gedeelde geheugen. Aanvankelijk ging men ervan uit dat apps vrijwel geïsoleerd op het Androidsysteem draaiden, maar de wetenschappers ontdekten een zijkanaal waarmee ze het gedeelde geheugen uitbuiten, en informatie van andere apps stelen. De app van de aanvaller, die op de achtergrond draait, houdt via dat gedeelde geheugen de activiteiten van de te hacken app in de gaten. Via de netwerkverbinding wordt de aanvaller op de hoogte gehouden van het doen en laten van het slachtoffer.

Activeren en stelen

Op het moment dat het slachtoffer gevoelige informatie ingeeft, activeert de aanvaller een functie in zijn app waarmee die gevoelige informatie gestolen en doorgestuurd wordt. De buit gaat van enkele regeltjes tekst, tot naam, account en kredietkaartinformatie.

Het Californische team probeerde op die manier gevoelige informatie te stelen van zeven (in Amerika) populaire applicaties. De succesratio lag bij zes van die zeven tussen de 82 en de 92 procent. Het ging om Gmail (92 procent), maar ook om apps van Amerikaanse banken, net als Hotel.com (83 procent) en WebMD (85 procent). Enkel de app van Amazon bood weerstand: de hack lukte in slechts 48 procent van de gevallen. In deze video kan je zien hoe het systeem concreet in z’n werk gaat.

De aanpak heeft één nadeel voor de aanvaller: hij moet bij de pinken blijven. Tijdens het stelen van informatie doet de gehackte app zijn werk niet meer. Informatie moet dus op het juiste moment gestolen worden, anders zal de gebruiker argwaan krijgen.

Geen oplossing

Een update uitbrengen voor de kwetsbaarheid is niet zomaar mogelijk. Gedeeld geheugen is noodzakelijk voor de werking van apps. Je vindt het ook terug in Windows Phone en iOS. Dat is de reden dat onderzoekers ervan overtuigd zijn dat hun aanpak ook zal lukken bij die besturingssystemen, al testten ze dat nog niet zelf.

Als gebruiker kan je niet veel doen tegen een dergelijke gerichte aanval om persoonlijke info buit te maken. De gouden regel is en blijft dezelfde als altijd: installeer geen apps die je niet vertrouwt.