Android: vrijheid-blijheid of Trojaanse paardenstal?

Een Android-app moet voorafgaand aan zijn installatie precies aangeven welke toegang hij nodig heeft tot de faciliteiten van de smartphone, en kan niet liegen. Dat maakt Google's Android Market veilig, tenzij een gebruiker niet snapt waar hij of zij toestemming voor geeft. Zou je denken.

Er zijn voorbeelden, zoals een 'media player' die zijn (Russische) gebruikers tilde via betaalnummers. Wie bewust installeert hoeft inderdaad geen slachtoffer te worden van zulke primitieve oplichterijen.

Maar de smartphone gaat ongetwijfeld ook een werkterrein worden voor serieuze crackers, van het kaliber dat zich afgelopen jaar langdurig toegang verschafte tot de financiële geheimen van enkele grote multinationals in de energiewereld; professionele cyberspionnen, dagelijks aan de slag van negen tot vijf, tijdzone Beijing. (Zie McAfee's Night Dragon rapport.) Hoe zouden die te werk gaan?

Luisterend oor

De aandacht van een verstandige gebruiker gaat naar de combinatie van permissies waar een app om vraagt. Maar een spion kan ook bestaan uit twee samenwerkende apps, schrijven Roman Schlegel en zijn collega's.

Hun bewijs is Soundminer (video, pdf), een app die zich makkelijk laat vermommen als een handige recorder of spraakgestuurde dialer. Zodra een gebruiker contact heeft met een interactieve telefoonbeantwoorder vist de app via de microfoon zelfstandig credit-cardnummers uit gesproken woord of de tonen van het toetsenbord.

Soundminer vraagt met opzet geen toegang tot internet. In plaats daarvan sluist hij de nummers door naar een tweede app, via een code bestaande uit kleine veranderingen van bijvoorbeeld scherminstellingen. De tweede app wordt gecamoufleerd als een legitieme netwerktoepassing. Het doorgeven van kleine hoeveelheden informatie aan de cracker wekt daardoor geen achterdocht.

De onderzoekers wijzen erop dat dezelfde techniek ook geschikt is voor het afluisteren van pincodes en wachtwoorden, en dat zowel VirusGuard (SMobile Systems) als AntiVirus (Droid Security) niet wakker werden van Soundminer, ook niet terwijl de spion bezig was met het opnemen, decoderen en verzenden van informatie.

GTalkService

Apps in de geest van Soundminer en zijn helper kunnen zich verspreiden door reclame te laten maken voor elkaar. Hun criminele functie kan heel lang verborgen blijven, zodat de op commentaar van gebruikers gebaseerde beveiliging van de Android Market nauwelijks werkt.

Maar áls zulke malware wordt betrapt, kan Google wel bijna direct ingrijpen. Android smartphones houden vrijwel voortdurend contact met hun Grote Meester via de GTalkService, zodat Google's afdeling beveiliging bekende malware wereldwijd kan uitgummen met een REMOVE_ASSET opdracht.

Van die mogelijkheid werd recent gebruik gemaakt om twee gratis apps te verwijderen, waarmee onderzoeker Jon Oberheide de kansen voor een ander soort malware onderzocht. Google geeft op het Android-ontwikkelblog een toelichting. Uitgebreider en interessanter is deze post van Oberheide zelf.

Apple heeft een vergelijkbare noodrem in iOS via een intrekbaar cryptografisch certificaat. Maar Google ging nog een stap verder door Android te voorzien van een INSTALL_ASSET functie. Apps kunnen ook door Google - eventueel zonder tussenkomst van de gebruikers - worden geïnstalleerd!

Vrijheid, blijheid?

In februari werd de Android Market uitgebreid met download via het web. Log in via een browser, eventueel draaiend op een pc. Kies een app, ga akkoord met de permissies, klik install en je smartphone krijgt 'm automatisch en geruisloos aan boord, kennelijk via het INSTALL_ASSET mechanisme.

Stel dat je Google account is gekraakt. Dan kan de cracker ongemerkt apps op je smartphone zetten. Stel dat een bedrijf de nieuwe methode gebruikt om apps over de smartphones (en tablets) van het personeel te verspreiden, en dat de bedrijfsaccount wordt gekraakt. Overigens, hoe veilig is de GTalkService zelf?

Het is de vraag of Android en de dienstverlening eromheen al zo volwassen zijn, dat ze de weelde van zoveel vrijheid kunnen dragen. Bovendien hangt steeds meer af van het wachtwoord dat je Google account-vergrendelt. En hoe veilig is een wachtwoord nog?