Foto: Bloomberg
Het gaat om de zogenoemde ‘Masterkey’-bug. De kwetsbaarheid werd in juli ontdekt en zou al sinds Android 1.6 in het systeem zitten.
Google verhielp de bug met Android 4.3, dat vandaag in Nederland beschikbaar kwam voor HTC One en Samsung Galaxy S4. Maar in het vorige week uitgebrachte Android 4.4 zou de bug weer aanwezig zijn, ontdekte Security Affairs.
Door de bug kunnen kwaadwillenden malware aan app-updates toevoegen, zonder dat de digitale handtekening van de update wordt aangetast. Zo’n handtekening garandeert normaal gesproken de veiligheid van een app en is zodoende versleuteld.
De bug in Android 4.4 is volgens Security Affairs minder groot dan in voorgaande versies van Android, toch kunnen kwaadwillenden nog steeds van de kwetsbaarheid gebruik maken en de versleuteling van de digitale handtekening passeren.
Google scant de apps in zijn Play Store naar eigen zeggen regelmatig op misbruik van de Masterkey-bug en ook apps uit de Amazon Appstore voor Kindle-tablets zouden veilig zijn. Gebruikers lopen gevaar door buiten die veilige winkels om apk-bestanden te downloaden van onbetrouwbare bronnen.