Dat melden onderzoekers van beveiligingsbedrijf Trend Micro op basis van de online geplaatste informatie die is buitgemaakt bij de hack op Hacking Team.
Het Italiaanse bedrijf leverde software waarmee inlichtingendiensten en overheden misbruik konden maken van onbekende kwetsbaarheden in programma’s en besturingssystemen om personen en bedrijven in de gaten te houden.
Nu blijkt dat Hacking Team een eigen Android-app heeft ontwikkeld met de naam BeNews. De app is inmiddels offline, maar misbruikte een kwetsbaarheid in Android waardoor de app zonder dat de systemen van Google het doorhadden kwaadaardige code kon uitvoeren.
Kwetsbaarheid
De applicatie vroeg bij de installatie maar om drie algemene bevoegdheden en werd door de automatische controle van Google als veilig bestempeld. Daarna kon de app dankzij de kwetsbaarheid in Android echter code uitvoeren van een internetpagina zodra de gebruiker de app opstartte. Dan kijken de systemen van Google echter al niet meer mee.
De kwetsbaarheid raakt in ieder geval Android 2.2 tot Android 4.4, maar volgens Trend Micro is niet uitgesloten dat het nieuwe Android 5.0 en 5.1 ook geraakt kunnen worden. Tientallen miljoenen toestellen zouden daardoor kwetsbaar zijn.
Instructies
Hacking Team zou de app onder zijn klanten hebben verspreid met uitgebreide instructies over hoe de kwetsbaarheid benut kon worden. Mogelijk zijn er dus meer apps in omloop (geweest) die op dezelfde manier werken.
Bovendien is het lek nog niet gedicht en ligt de informatie over hoe de kwetsbaarheid misbruikt kan worden nu dus op straat. Dat betekent dat anderen ook dergelijke malafide apps kunnen maken, waarschuwt Trend Micro.
Eerder doken al twee ernstige kwetsbaarheden in Adobe Flash op die nog onbekend waren en direct na de publicatie van de gestolen gegevens van Hacking Team misbruikt werden.