Een Samsung smartphone met besturingssysteem Android.
Een Samsung smartphone met besturingssysteem Android. © Reuters

Lek op Android-telefoons door beveiliging Google

Maker Google weet het al maanden, zeggen Nederlandse onderzoekers, maar doet niets. Ze ontdekten een veiligheidslek in het Android-besturingssysteem dat criminelen vrij spel geeft.

Door een lek in het besturingssysteem Android, dat in verreweg de meeste smartphones zit, is het eenvoudig om de beveiliging van bijvoorbeeld DigiD, ING Bankieren en Paypal te kraken. Criminelen kunnen zo simpel toegang krijgen tot mobieltjes. Vervolgens kunnen zij alles met die telefoons doen, waaronder het ongezien misbruiken van de sms-verificatiemethode die bovengenoemde diensten gebruiken.

Dit is ontdekt door onderzoekers van de Vrije Universiteit in Amsterdam. De omvang van het probleem is groot; Android is veruit het meeste gebruikte besturingssysteem. Van de nieuw geleverde smartphones in 2014 draaide 85 procent op Android.

Google weet er sinds eind 2014 van, maar tot onze verbijstering doen ze er niets aan. Dit is een groot veiligheidsrisico

Onderzoekers Krish-nan. vd Veen en Bos

Het probleem wordt veroorzaakt door de maker van Android zelf: Google. Doordat gebruikers één Google-gebruikersnaam hebben om verschillende apparaten te bedienen (computer, tablet, smartphone), kan iemand die een internetbrowser heeft geïnfecteerd via Google eenvoudig kwaadaardige apps installeren op een mobiele telefoon. Dit zonder dat gebruikers iets op hun mobieltje doen.

De onderzoekers, Radhesh Krish-nan, Victor van der Veen en hoogleraar systeem- en netwerkbeveiliging Herbert Bos, hebben hun bevindingen in een vroeg stadium gedeeld met Google. Bos: 'Ze weten er sinds eind 2014 van, maar tot onze verbijstering doen ze er niets aan. Dit is een groot veiligheidsrisico.'

Bos heeft ook het Nationaal Cyber en Security Centrum (NCSC) en het Team High Tech Crime (THTC) van de politie ingelicht. 'Bij de politie namen ze het wel serieus.' Ook ING vindt het probleem ernstig. Een maand geleden zei de bank aan een oplossing te werken. Bos: 'Omdat het nog altijd niet opgelost is, is het tijd om het grote publiek te informeren.'

Kwaadaardige versies

Onderzoeker Krishnan ontdekte het lek. Door toegang te krijgen tot iemands internetbrowser kon hij de Google-username achterhalen. Vervolgens installeerde hij een app op de mobiele telefoon van het slachtoffer. Ongezien kon hij die app daarna activeren om controle te krijgen over de telefoon. Daarna was alles mogelijk: camera aanzetten, applicaties vervangen door kwaadaardige versies, berichten onderscheppen, malware installeren.

Bos: 'Het probleem wordt veroorzaakt doordat Google zoveel mogelijk diensten onder één gebruikersnaam samenbrengt en toestaat dat apps via iemands browser op een telefoon gezet kunnen worden. Deze integratie van diensten is prettig voor gebruikers, maar heeft een keerzijde.'

Om malware tegen te gaan maken sommige banken en ook DigiD gebruik van een extra beveiligingsmethode: ze sturen per sms een verificatiecode naar een mobiele telefoon. Dit gaat uit van het idee dat iemands internetbrowser en mobiele telefoon losgekoppelde systemen zijn. Bij Android en Google is dat niet het geval.

Het probleem wordt veroorzaakt doordat Google zoveel mogelijk diensten onder één gebruikersnaam samenbrengt

Onderzoeker Bos

Bos: 'Zo was het voor ons relatief eenvoudig om ongezien de verificatiecode te onderscheppen.' Criminelen kunnen op deze wijze geld van iemands rekening halen of inloggen bij DigiD.

Van de grote Nederlandse banken maakt alleen ING gebruik van deze methode. Deze week werd bekend dat criminelen op grote schaal ING-klanten belaagden met links naar nepsites om - ongemerkt - een spionage-app op mobiele telefoons te installeren. Binnen 24 uur hadden drieduizend mensen al zo'n app op hun telefoon. Dit is een andere methode dan de hack die de VU-onderzoekers beschrijven.

Een woordvoerder van ING zegt dat er contact is geweest met de onderzoekers. 'Zij hebben ons geïnformeerd dat dit mogelijk is.' ING zegt 'detectiemaatregelen' te kunnen nemen om het risico van fraude te beperken. De woordvoerder: 'Daarnaast kunnen wij transacties signaleren die niet kloppen.' Getroffen klanten kunnen zo gecompenseerd worden.

Google reageerde niet op een verzoek om een toelichting.

Onderstaande video is niet beschikbaar in de mobiele applicatie van de Volkskrant.