Lek in alle recente versies van Android raakt honderden apps

Het lek, getooid met de naam StrandHogg, is gevonden door de Noorse beveiliger Promon. StrandHogg is oud-Noors voor een aanvalstechniek van de Vikingen. Alle recente versies van Android, van versie 6.0 tot ook versie 10, bevatten het lek. Volgens Promon lopen alle 500 populairste apps risico hierdoor te worden misbruikt. Beveiliger Lookout heeft inmiddels zeker 36 kwaadaardige apps gevonden die het lek misbruiken en de 500 populaire apps op kwetsbaarheid getest.

Een aanvaller kan via het lek legitieme apps overnemen en kwaadaardige processen draaien. Daarbij gaat het onder meer om toegang tot SMS-berichten, inloggegevens en foto's. Daarnaast kunnen telefoongesprekken worden opgenomen en kan een aanvaller spioneren via de camera en microfoon van een smartphone. Rootaccess is hiervoor niet nodig. 

Multitasking systeem

StrandHogg bevindt zich in het multitasking systeem van Android, waarmee het diverse apps tegelijk kan draaien en van app naar app kan wisselen op een scherm. taskAffinity, de control setting van Android, geven elke app - ook kwaadaardige - de mogelijkheid elke gewenste identiteit aan te nemen in het multitaskingsysteem. Daardoor kunnen die apps allerhande permissies aanvragen terwijl ze de indruk wekken legitiem te zijn. Een aanval kan de vorm hebben van verzoeken om permissies die heel normaal lijken voor de aangevallen apps. Voor slachtoffers is het daardoor moeilijk om de aanvallen op te merken.

De malware is geïnstalleerd via zogeheten dropper apps en vijandige downloaders die verspreid werden via Google Play.  Promon heeft het lek al deze zomer gemeld aan Google. Nu, ruim 90 dagen later, heeft Google er nog geen patch of andere oplossing voor gepubliceerd. Wel zijn de geïnfecteerde apps verwijderd.