Foto: AFP
Dat laten de onderzoekers van de universiteit van Californië weten in een paper. Het onderzoek wordt vrijdag officieel gepresenteerd.
De onderzoekers maakten een malafide applicatie die alleen netwerktoegang nodig had. Vervolgens kon de applicatie via het gedeelde geheugen een telefoon zien wat voor handelingen er in andere apps worden verricht.
Naast Android, maken iOS en Windows op dezelfde manier gebruik van het gedeelde geheugen. Volgens de onderzoekers werd aangenomen dat de ene app geen invloed kon uitoefenen op de andere app, maar het tegendeel wordt nu bewezen.
Voor het monitoren van het gedeelde geheugen van een andere app is bovenden geen extra toestemming nodig.
Praktijk
In de praktijk kan dit ervoor zorgen dat kwaadwillenden precies kunnen volgen wat een gebruiker op een smartphone aan het doen. In het ergste geval kunnen inloggegevens worden bemachtigd.
De malafide app geeft aan de telefoon van de hacker door welke handelingen er worden verricht. Opent het slachtoffer een app om te bankieren dan ziet de hacker dit als hij realtime mee kijkt. Vervolgens kan de hacker op exact het juiste moment zijn malafide app op de voorgrond tonen en het inlogscherm van de bankierapp dupliceren, zo wordt in drie video’s getoond.
De timing is dan dus wel heel belangrijk en de handeling moet door de malafide app herkent zijn. Bovendien moet de hacker weten hoe de gebruikte app eruit ziet.
Gmail
De onderzoekers konden in 92 procent van de gevallen de inloggegevens van Gmail bemachtigen. Bij de applicatie van Chase, een Amerikaanse bank, lukte dat in 83 procent van de gevallen. Van de zeven geteste apps bleek Amazon met 48 procent de moeilijkst te kraken applicatie.