Rechtenescalatie in Andoid apps mogelijk via slapende rechten

Onderzoekers van de universiteit van Indiana en Microsoft hebben een rechtenescalatie probleem in Android gepubliceerd dat gebruik maakt van updates. De update-kwetsbaarheid heeft van het team de naam “PileUp” gekregen.

Toestemming voor toekomstige functies
Apps op het Android platform kunnen uitgebreide rechten verkrijgen en hierbij de waarschuwingen van de Android Package Manager omzeilen. Hiervoor kent de app zichzelf permissies toe die pas in nieuwer versies van het Android besturingssysteem beschikbaar zijn gekomen. Als de app op een toestel met een oudere Android versie wordt geïnstalleerd, dan herkent de Android Package Manager de toegekende permissies (nog) niet. De app krijgt hierbij de permissies toegekend, ook al zijn de functies nog niet beschikbaar. De gebruiker krijgt geen waarschuwing te zien.

Wanneer het Android OS op het toestel wordt geüpdatet, worden de eerder genegeerde functies aan het besturingssysteem toegevoegd en heeft de app direct toegang tot deze functies. Omdat de Package Manager reeds geïnstalleerde apps voorrang geeft op systeemtoepassingen, kunnen kwaadaardige apps hiermee zelfs de rechten van legitieme apps kapen.

Alle Android versies kwetsbaar
Alle versies en varianten van Android zijn kwetsbaar voor het PileUp beveiligingslek.

Praktische toepasbaarheid onduidelijk
Volgens de onderzoekers is het gelukt om zelfontwikkelde Pileup-malware in de Play-store te krijgen. Het is echter niet duidelijk in hoeverre deze aanval in de praktijk bruikbaar is.

Aanmelden voor onze nieuwsbrief