Het eerste beveiligingsgat dat nu is ontdekt in smartphone-platform Android is te wijten aan oudere open source. Android-maker Google heeft niet de nieuwste versies van enkele componenten gebruikt.
Het beveiligingsgat in smartphone-platform Android is veroorzaakt door het gebruik van oudere open source. Dit zeggen de ontdekkers van het gat in de webbrowser van het besturingssysteem. "Android is opgebouwd uit meer dan tachtig verschillende open source-componenten. De kwetsbaarheid is te wijten aan het feit dat Google niet de meest actuele versies van die packages heeft gebruikt", melden de onderzoekers van het Amerikaanse bedrijf Independent Security Evaluators.
Zij trekken dan ook de conclusie dat dit beveiligingsprobleem makkelijk voorkomen kon worden. "Dit specifieke probleem voor Android-smartphones zoals de T-Mobile G1 van HTC was dus bekend en reeds opgelost in de betreffende softwarecomponenten." De beveiligingsonderzoekers houden dan ook details over het gat – en hun exploitcode daarvoor – geheim.
Beperkte impact
Het ontdekte gat stelt kwaadwillenden in staat om via de Chrome-webbrowser van Android code te draaien op smartphones. De ingebouwde beveiliging van Google's smartphone-besturingssysteem beperkt echter de mogelijkheden. Android heeft namelijk een sandbox-indeling voor programmatuur die zaken gescheiden houdt.
"Een succesvolle cracker heeft toegang tot alle informatie die de webbrowser mag gebruiken", zeggen de ontdekkers van het gat. De schade blijft dus beperkt tot de browser, maar die doet dienst voor veel belangrijke zaken. De onderzoekers sommen enkele de buit te maken gegevens op: "Cookies voor de toegang tot websites, informatie die is ingevoerd in webapplicaties en online-formulieren, opgeslagen wachtwoorden, enzovoorts."
Versus iPhone
Functies van de telefoon zelf blijven buiten bereik van crackers. "Dit in tegenstelling tot de iPhone, die niet deze functie van applicatie-sandboxing heeft. Een eenmaal gekraakte iPhone staat toegang tot alle functies toe", aldus de beveiligingsexperts. Zij hebben eerder al een gat gevonden in Apple's iPhone.
Google werkt nu samen met ontdekkers Charlie Miller, Mark Daniel en Jake Honoroff aan een oplossing voor dit Android-probleem. Smartphones met dat besturingssysteem moeten die update dan nog krijgen. Dit moet gebeuren via de breedbandverbinding van de toestellen zelf. Google werk hiervoor weer samen met telecomaanbieder T-Mobile.
