Verschillende Androidtoestellen zijn kwetsbaar voor een aanval die een hacker root-privileges kan opleveren. Dat ontdekte Project Zero van Google zelf. Achttien toestellen zijn zeker vatbaar voor het lek.
Googles Project Zero lijkt dan toch geen favorieten te spelen. De beveiligingsonderzoekers van de gerenomeerde divisie maakten een zero day lek in het Android-besturingssysteem publiek. Achttien toestellen zijn zeker kwetsbaar. Het gaat onder andere om oude Pixel-telefoons maar ook de Samsung Galaxy S7, S8 en S9, en de Huawei P20. Nieuwere smartphones met de modernste versie van Android zijn in principe immuun.
Het lek in kwestie laat hackers toe een escalatie van privileges uit te lokken en zo root-toegang tot een toestel te verwerven. De aanvaller krijgt met andere woorden de volledige controle over de telefoon.
De eenvoudigste manier om dat te bewerkstelligen is om een slachtoffer een geïnfecteerde applicatie te installeren. Als alternatief is het ook mogelijk om een webpagina te infecteren en het lek uit te buiten via een bug in de render-engine van de mobiele Chrome-browser. De kwetsbaarheid krijgt de noemer CVE-2019-2215 mee, maar wordt momenteel nog niet getracked via de CVE-website. De kwetsbaarheid wordt om begrijpelijke redenen als ernstig bestempeld.
Patch
Google rolt zelf een patch uit voor zijn oude Pixel-telefoons. De beveiligingsupdate van oktober moet de achterpoort dichttimmeren. Het is helaas aan OEM’s om die updates zo snel mogelijk uit te rollen. Samsung, dat de populairste toestellen uit heeft die kwetsbaar zijn, werkt nog aan een oplossing.
De kwetsbaarheid werd in 2018 al ontdekt en prompt gedicht in de Linux-kernel. Ze bug kreeg toen geen CVE-nummer mee, en lijkt zich zo een weg gebaand te hebben in de Android-kernel. Nieuwe versies van Android bevatten het probleem niet meer. In een blog beschrijft Project Zero het lek in meer detail.
Misbruik door natiestaten
De kwetsbaarheid wordt volgens Project Zero actief misbruikt. De schuldige is NSO. Dat is een Israëlische firma die cyberwapens ontwikkelt en verkoopt. NSO werkte zich al in de schijnwerpers met onder andere Pegasus, malware waarmee hackers eveneens root-toegang tot een mobiel toestel kon verwerven. NSO slaagde er ook al in op WhatsApp uit te buiten om spyware op mobiele toestellen te injecteren. Klanten van het bedrijf zijn voornamelijk natiestaten. Zo zouden de Verenigde Arabische Emiraten al dankbaar van de diensten van NSO gebruik gemaakt hebben om dissidenten te bespieden.
Je kan er dus vanop aan dat het zero day-lek al slachtoffers heeft gemaakt. Langs de andere kant houden NSO en klanten zich vooral bezig met gerichte aanvallen op specifieke doelwitten. Aanwijzingen tot misbruik in het wild zijn er nog niet. De kans is dan ook klein dat jouw toestel geïnfecteerd is. In afwachting van een patch is het wijs om niet zomaar onbetrouwbare apps te installeren, maar dat is los van dit zero day-lek goede raad. Wie zich helemaal paranoïde voelt, kan tijdelijk een alternatieve mobiele browser gebruiken om de kans op infectie verder te verkleinen.
Update 04/10 17u: Samsung laat aan de redactie weten dat het lek wordt gedicht in de Android securitypatch van november. Tot dan blijft het belangrijk om enkel apps uit de Play Store te installeren.