Onderzoekers hacken Android-apps via app
Onderzoekers van de universiteit Californië Riverside en van de universiteit van Michigan zijn er gezamenlijk in geslaagd om apps op een Android-smartphone te hacken via een enkele andere app. De onderzoekers denken dat dezelfde zwakte in de besturingssystemen van Windows en Apple bestaat, schrijven zij in Paper.
'Men ging er altijd vanuit dat apps zich onderling nauwelijks met elkaar kunnen bemoeien', zegt professor Zhiyun Qian van UC Riverside op de website van de universiteit. 'Wij tonen aan dat die aanname niet klopt en dat de ene app de ander kan beïnvloeden en dat kan schadelijke gevolgen hebben voor de gebruiker.'
De hack werkt als volgt: de gebruiker downloadt een app waar op het eerst gezicht niks mis mee is maar die in werkelijkheid een schadelijke code bevat. Zodra die is geïnstalleerd, hebben de onderzoekers via de app toegang tot het geheugen van de telefoon waar alle apps toegang toe hebben. Door veranderingen in het geheugen in de gaten te houden kun je zien wanneer een gebruiker bijvoorbeeld inlogt bij Gmail.
Timing
Een succesvolle hack hangt van de timing af. Zodra de gebruiker bijvoorbeeld wil inloggen bij Gmail of zijn bank wordt er precies bij de druk op de knop een identieke inlogpagina ingebracht, die de gegevens doorstuurt naar de onderzoekers. Van de zeven geteste apps was Gmail het makkelijkst te hacken (92 procent van de hacks waren succesvol) en Amazon het moeilijkst (48 procent succesvol).
De onderzoekers hebben de hack vooralsnog alleen uitgevoerd op een smartphone die draait op Android. Maar de slimmeriken denken dat dezelfde zwakte bij Windows en Apple is te vinden aangezien deze besturingssystemen ook gebruikmaken van een gezamenlijk geheugen voor apps.
