Voor e-krakers is het zoeken naar openstaande ‘poorten’ van computers of telefoons de eerste stap om te kijken hoe ze bij apparaten ‘binnen’ kunnen komen. Onderzoekers van de universiteit van Michigan stellen dat tientallen toepassingen voor de Android-telefoon de deur openzetten (pdf-bestand). Door de telefoon te verbinden met een computer wordt die in feite een soort server. Tientallen toepassingen voor Anrdroid-toestellen laten daarbij de poorten open staan, stellen de onderzoekers.
“Android heeft die opendeurfunctionaliteit geërfd van de oude computers”, zegt onderzoeker Yunhan Jia die met zijn medeonderzoekers de resultaten heeft gepresenteerd op een computerveiligheidscongres van de IEEE Europa in Parijs. “Veel toepassingen gebruiken open poorten. Als een van die toepassingen op je telefoon staat kan die overgenomen worden door aanvallers.”
Om de omvang van het probleem te bepalen, bouwden de onderzoekers een stuk gereedschap (Open Port Analyzer, OPAnalyzer) dat ze gebruikten om de coderegels van zo’n honderdduizend toepassingen uit de appwinkel van Google mee te onderzoeken. Ze vonden 1632 applicaties die in telefoons een poort open zetten. Meer dan de helft daarvan heeft meer dan een halfmiljoen gebruikers.
Dat kan nodig zijn om de telefoon te verbinden met een computer, om berichten of bestanden te versturen of om de telefoon als knooppunt (proxy) te gebruiken in het wereldwijde web. Vierhonderdtien daarvan hadden daarbij weinig of geen enkele vorm van bescherming tegen inbraak. Daarvan waren er 57 toegankelijk voor elke aanwezige op hetzelfde wifi-netwerk of voor een andere toepassing op hetzelfde toestel (zelfs een met beperkte bevoegdheden) of, en daar zit het gevaar, voor een script dat draait als de telefoongebruiker (besmette) webpagina’s bekijkt.
Deel van het probleem?
Volgens Zhiyun Qian van de universiteit van Californië in Riverside, die het onderzoek van de Michiganners heeft gevolgd, kan best maar een deel van het probleem zijn. Als een telefoon is verbonden met een wifi-netwerk dan wordt het IP-adres voor anderen zichtbaar. Je hoeft als ‘inbreker’ dan alleen maar de open poorten te zoeken, waar je zonder wachtwoord of wat dan ook in de telefoon kunt inbreken. Qian: “Dat kun je van een afstand doen. Dat is ernstig.”
Van de 57 waren er twee bijzonder gevaarlijk volgens de onderzoekers. Een toep met meer dan tienmiljoen gebruikers (Wifi File Transfer) maakt het gebruikers mogelijk te verbinden met een open poort en zo toegang te krijgen tot bestanden op de geheugenkaart, maar, volgens Jia, ontbreekt elke vorm van een identificatie zodat ieder ander datzelfde kan doen. “Het is bedoeld als gemak voor de gebruiker, maar door het ontbreken van een beveiliging kan iedereen dat doen.”
Ook AirDroid, eveneens op miljoenen Android-telefoons te vinden, is bedoeld om de telefoon met je computer over te nemen. Door een lek in de beveiliging kunnen derden dat ook ongevraagd doen. Overigens kan dat alleen bij bestaande verbindingen. Om onrechtmatig binnen te komen zal een kwalijke progje op de telefoon moeten worden geplaatst om te voorkomen dat de gebruiker verbinding tussen zijn computer en telefoon kan maken als de inbreker/aanvaller/overnemer bezig is. Volgens de onderzoekers zouden de makers dat lek inmiddels hebben gedicht. Dat deden de makers van Wifi File Transfer niet, stelt Jia, die contact met het bedrijf Smarter Droid heeft gezocht. Ook het webblad Wired ving bot.
De eigen universiteit
Om te zien of ze geen spook aan het najagen waren keken de onderzoekers ook rond op het netwerk van de eigen universiteit. En bingo. Qian: “Dat zoveel ontwikkelaars zo’n fout maken is al alarmerend. Andere toepassingen waar niet naar gekeken is kunnen datzelfde probleem hebben evenals nog te bouwen apps.” Volgens Jia moeten ontwikkelaars beter nadenken als ze poorten openen. “De gebruiker kan niets doen.” Dat is natuurlijk niet helemaal waar. Je kunt de kwetsbare toepassingen deïnstalleren. Of je er daarmee bent is natuurlijk onduidelijk als niet alle applicaties in de winkel van Google op open poorten zijn nagevlooid…
Bron: Wired