Volgens het webbeveiligingsbedrijf Check Point lopen Android-telefoons met een Qualcomm-chip grote risico’s om te worden overnomen door derden vanwege gaten in de beveiliging. Het zou gaan om bijna eenmiljard toestellen, zo deelde het bedrijf mee op het webbeveiligngscongres Defcon. Het lijkt er op dat de lekken op zijn vroegst pas in september definitief zullen worden gedicht als de Android-reparaties beschikbaar komen. De ontdekkers hebben het lek Quadrooter gedoopt.
Adam Donenfeld van Check Point ontdekte dat als een gebruiker van de Qualcom/Adroid-telefoons verleid kan worden een vals progje te installeren, de aanvaller het toestel kan overnemen tot in de kern van het besturingssysteem (root). Veel Android-telefoons weigeren toepassingen die niet van Google Play komen te laden zonder uitdrukkelijke toestemming van de gebruiker. De makers van het inbreekprogje hebben die barrière weten te omzeilen, zoals al eerder gebeurd is.
Volgens het beveiligingsbedrijf hebben veel Android-telefoons systemen/toepassingen die het toestel kwetsbaar maken. Zo zouden Nexus 5X, 6 en 6P van Google, One M9 en 10 van HTC en de Samsungmodellen Galaxy S7 en S7 Edge in dit opzicht mankementen hebben (maar niet de enige zijn). Ook de recent aangekondigde BlackBerry DTEK50, door het bedrijf aangeprezen als het veiligste Android-toestel, is ten minste op een plek lek.
Qualcomm
Een woordvoerder van Qualcom zei alle gaten gedicht te hebben en dat de reparaties voor alle lekken beschikbaar zijn gesteld voor klanten, collegabedrijven en de ‘open-bron’-gemeenschap. Dat zou tussen april en eind juli zijn gebeurd. Veel van de mankementen zouden al zijn gerepareerd in de maandelijkse beveiligingsreparaties van Android, die vervolgens via de telefoonmakers worden verspreid. Google gaf aan dat het vierde lek, er waren er dus ten minste vier, in begin september zal worden gedicht, maar Qualcomm heeft die reparatie al beschikbaar.
Die verwarring is het gevolg van de wat onduidelijk stromen rond het Android-toestel. Waar Apple bij zijn iPhone alles zoveel mogelijk in eigen hand houdt, is de situatie bij Android nogal versnipperd. Telefoonbouwers halen de laatste versie van het Androidbesturingssysteem niet bij Google, maar bij, in dit geval, de chipmaker Qualcomm. Dat bemoeilijkt het reparatieproces, waardoor het lek niet binnen drie maanden effectief kon worden gerepareerd. Die drie maanden is de periode die ontdekkers van kwetsbaarheden wachten alvorens met het nieuws naar buiten te komen.
De reparatie is er maar dringt vertraagd door bij de gebruikers. Volgens Michael Shaulov van Check Point is geen van de Qualcomm-toestellen helemaal veilig. “Dat heeft er mee te maken dat tussen Qualcomm en Google onduidelijk is wie wat repareert.” In Amerika gaat de overheid (de federale handels- en de federale telecomcommissie) deze zaak onderzoeken. Het rapport wordt later dit jaar verwacht.
Bron: ZDNet