Softwareleverancier Adobe heeft een lek gedicht in Adobe Reader voor Android. Door een lek in de Java-code konden cybercriminelen via een besmet pdf-bestand informatie openen en Java-code programmeren. Adobe heeft een update uitgebracht (11.2.0) waarin het lek is gedicht. Gebruikers van Android 4.2 of hoger kunnen de update installeren.
‘Voor gebruikers die een oudere Android-versie draaien, is het gebruik van Javascript voor het invullen van formulieren uit veiligheidsoverwegingen afgesloten’, meldt de leverancier.
Het lek werd ontdekt door Yorick Koster van beveiligingsleverancier Securify. Hij meldde het lek zo’n twee weken geleden bij de Adobe, die vervolgens de update uitvoerde. Via de website van zijn bedrijf deelt Koster de technische details van het lek.
Koster legt uit dat de malafide pdf-bestanden bijvoorbeeld op een website geplaatst worden of per e-mail worden toegestuurd. ‘Zodra de pdf is geopend kan de hacker willekeurige bestanden van de sd-kaart van het apparaat stelen. Denk aan foto’s, video’s of andere eerder geopende pdf-files. Het kan ook worden gebruikt om bestanden op het toestel te wijzigen of toe te voegen aan de sd-kaart. Denk aan plaatjes of video.’
Securify deelt ook proof of concept-code waarmee het lek kan worden getest.
Volgens Adobe is Reader for Android miljoenen keren gedownload.