De onderzoekers hebben het lek de naam Certify-gate gegeven, en gepresenteerd tijdens hackersconferentie Black Hat.
De kwetsbaarheden in Android komen voor op toestellen van fabrikanten Samsung, LG, ZTE en HTC. De manier waarop die fabrikanten de zogenoemde remote support-functies hebben toegepast, maakt misbruik mogelijk.
Remote support maakt het normaal gesproken mogelijk voor die bedrijven om via internet technische ondersteuning op apparaten te leveren. Maar door de beveiligingscertificaten van de fabrikanten te misbruiken, kunnen volgens Check Point ook derden op die manier toegang tot Android-toestellen krijgen.
Nog geen oplossing
Door die toegang zouden kwaadwillenden alles kunnen zien wat gebruikers op hun Android-apparaat doen, en ook de volledige controle overnemen. Volgens de onderzoekers is er voor gebruikers geen oplossing om de certificaten die deze toegangsrechten verlenen in te trekken.
Check Point heeft Samsung, LG, ZTE en HTC op de hoogte gesteld van de kwetsbaarheid. Die zouden daarop begonnen zijn met het verspreiden van updates om de problemen te verhelpen. Zowel Check Point als Google geven aan dat Nexus-apparaten geen last hebben van de kwetsbaarheid.
Controle-app
Avi Bashan, hoofd mobiele dreigingsdetectie bij Check Point, zegt tegen Engadget dat de fout bij de fabrikanten van Android-apparaten ligt. Die zouden hun versies van de ondersteuningsmogelijkheden niet goed hebben geïmplementeerd.
Google zegt de onderzoekers dankbaar te zijn voor het vinden en melden van de kwetsbaarheid. “Het probleem dat zij beschrijven slaat op aanpassingen die fabrikanten maken, en zij stellen updates beschikbaar om de problemen te verhelpen”, aldus de Android-maker.
Check Point heeft een gratis app ontwikkeld waarmee Android-gebruikers kunnen controleren of de kwetsbaarheid op hun apparaat voorkomt.
Andere grote hack
Certify-gate volgt ruim een week na de bekendmaking van Android-kwetsbaarheid Stagefright. Dat lek komt in vrijwel alle versie van Android voor, en maakt ook overname van het hele toestel mogelijk.
Bij dat lek wordt gebruik gemaakt van een kwetsbaarheid in het videosysteem van Android. Kwaadwillenden kunnen code in een videobestand verstoppen, dat dankzij toepassingen als MMS maar ook Whatsapp of Hangouts automatisch wordt opgeslagen. Vervolgens wordt de code dan ongemerkt uitgevoerd.
Samsung heeft in reactie op dat lek zijn veiligheidsbeleid al aangepast. De populaire Android-fabrikant belooft zijn toestellen voortaan maandelijks van nieuwe beveiligingsupdates te voorzien.
