Vind je het leuk om een breed scala aan Android-games en -apps te downloaden en uit te proberen? Misschien wil je die gewoonte heroverwegen, of in ieder geval voorzichtig te werk gaan. Een nieuw onthulde kwetsbaarheid in Android betekent dat onverlaten ogenschijnlijk onschuldige apps kunnen gebruiken om u voor de gek te houden door hen 'toestemming' te geven om de controle over uw telefoon of tablet over te nemen en alles te bekijken wat u ermee doet.
Onderzoekers van UC Santa Barbara en het Georgia Institute of Technology hebben onlangs een kwetsbaarheid onthuld die ze Cloak & Dagger noemen, waardoor onverlaten de eigen toestemmingen van je telefoon tegen je kunnen gebruiken. Het werkt als volgt: u downloadt en voert een nieuwe app uit. Zoals zoveel apps doen, verschijnt er een openingsscherm waarin je wordt gevraagd ergens mee in te stemmen. Dat iets bijna alles kan zijn: Klik hier om onze instructievideo te bekijken. Of ga verder met het spel. Het maakt niet echt uit wat de app je lijkt te vragen. Wat het echt doet, is uw toestemming vragen voor administratieve bevoegdheden waarmee het uw telefoon kan gebruiken voor ... wat het maar wil.
Hoe slaagt het erin je voor de gek te houden? Een Android-functie gebruiken met de naam 'Over andere apps tekenen', waarin een afbeelding of dialoogvenster wordt weergegeven bovenop al het andere dat zich op het scherm van uw apparaat bevindt. De 'chatheads' die Facebook Messenger gebruikt, zijn een voorbeeld van hoe dit werkt.
Google geeft apps routinematig het recht om over andere apps te tekenen als ze daarom vragen. Ze kunnen zeer nuttig zijn, maar een slim gemaakte tekening kan bovenop een Android-waarschuwing worden gelegd over het verlenen van uitgebreide machtigingen aan een app, terwijl het lijkt alsof je OK zegt tegen iets heel anders. Een voorbeeld is dat het toegankelijkheidsfuncties kan activeren. Hierdoor kan de snode app je toetsaanslagen zien en opnemen, zoals sommige toegankelijkheidsfuncties moeten doen om te kunnen functioneren.
Deze (stille) video laat zien hoe het werkt:
Wat kun je eraan doen? Helaas vragen de huidige versies van Android niet om uw toestemming voor een nieuw geïnstalleerde app om over andere apps te tekenen. Dus om erachter te komen of dit voor u geldt, gaat u eerst naar Instellingen, klikt u op apps en vervolgens op instellingen in de app-lijst (het tandwiel rechtsboven). Onderaan de lijst die verschijnt, vind je 'Speciale toegang'. Klik daarop om te zien welke apps het recht hebben om over andere apps te tekenen. U kunt gedetailleerde informatie krijgen over dit beveiligingslek en hoe u uw apparaat kunt controleren hier .
Google is al enige tijd op de hoogte van deze kwetsbaarheid - de onderzoekers hebben het bedrijf maanden voordat ze de rest van ons vertelden gewaarschuwd. En het bedrijf zegt dat het Play Store-apps kan detecteren en blokkeren die hiervan profiteren. Dus een goede plek om te beginnen zou zijn om te voorkomen dat je Android-apps ergens anders dan de Play Store downloadt, tenzij je de bron kent en vertrouwt. En hopen dat Google snel een manier vindt om deze lacune in de beveiliging te dichten.
