HackingTeam kon beveiliging van Google’s Play Store omzeilen

Het Italiaanse HackingTeam blijkt in staat te zijn geweest de beveiligingscontrole van Android te omzeilen met een speciale app. BeNews was een app die in de Play Store werd aangeboden en door Google was veilig gekeurd. Eenmaal geïnstalleerd kon met de app echter malafide code worden uitgevoerd op het Android-apparaten van slachtoffers.

Dit melden onderzoekers van Trend Micro, die zich hierbij baseren op de interne data die onlangs bij HackingTeam werd gestolen. De BeNews app is inmiddels offline gehaald door Google. Met de app is HackingTeam erin geslaagd de beveiliging van Google te omzeilen. Google hanteert voor de Play Store een automatische beveiliging die onveilige apps automatisch moet detecteren. Dit systeem blijkt dus niet feilloos te werken.

Code uitvoeren vanaf een webpagina

De app vroeg gebruikers om drie algemene bevoegdheden. Zodra een gebruiker deze rechten toekende kon de app dankzij de kwetsbaarheid in Android code uitvoeren vanaf een webpagina. Aangezien Google alleen nieuwe apps controleert detecteerde het beveiligingssysteem van het bedrijf dit niet.

De gebruikte kwetsbaarheid is in ieder geval aanwezig in Android 2.2 tot Android 4.4. Trend Micro sluit echter niet uit dat ook Android 5.0 en Android 5.1 kwetsbaar zijn. In totaal zouden miljoenen toestellen vatbaar zijn voor dergelijke aanvallen. Het lek is nog niet door Google gedicht, waardoor cybercriminelen deze kunnen misbruiken.

Eerdere beveiligingsgaten

Het is de zoveelste kwetsbaarheid in korte tijd die wordt aangetroffen in de gestolen data van HackingTeam. Eerder doken al een aantal zero-day kwetsbaarheden op in Flash en werd een zero-day lek gevonden in Microsoft’s webbrowser Internet Explorer.