Google-app beschermt gebruikers tegen Android-bug met app-handtekening

De app Google Instellingen blijkt gebruikers al maanden te beschermen tegen mogelijke exploits van een bug, waarbij kwaadwillenden een legitieme app kunnen injecteren met malware zonder dat het opvalt. Er is nog geen exploit van de bug bekend.

Verify Apps Google Android beveiligingDe ontdekkers maakten de bug, waarbij installatiebestanden van apps kunnen worden aangepast zonder dat de cryptografische handtekening wordt gewijzigd, vorige week bekend. Ze zullen de details delen op hackersconferentie Black Hat, die over enkele weken plaatsvindt in Las Vegas.

Wel heeft een andere ontwikkelaar ontdekt hoe de bug werkt. Hij heeft een proof-of-concept op Github geplaatst. Volgens Security Ledger werkt de bug door in de apk een tweede bestand met malware te injecteren in het installatiebestand. De proof-of-concept doet dat met het bestand classes.dex. Alleen het eerste zal worden gecheckt, maar beide worden geïnstalleerd.

De ontdekkers seinden Google al in februari in en die maakte in maart een fix. Onder meer de Galaxy S4 beschikt al over deze fix, maar veel meer gebruikers blijken beschermd. Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug, zo schrijft ZDNet. Deze functie checkt vemoedelijk op dergelijke dubbele bestanden in de apk. De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben. Hoeveel gebruikers deze app op het toestel hebben staan, is onduidelijk; hij is geschikt voor elke Android-telefoon.

Er zijn overigens nog geen exploits waargenomen door Google, dat een log bijhoudt van alle geverifieerde apps. Het ligt ook niet voor de hand dat dat gaat gebeuren. Hoewel de ontdekker van het lek, het beveiligingsbedrijf BlueBox, hoog van de toren blies met de claim dat het de 'master key' tot 'vrijwel alle Android-toestellen' had ontdekt, is de impact van de bug gering. Vaak gebruiken kwaadwillenden al aangepaste legitieme apps om malware te verspreiden; die bevatten een andere cryptografische handtekening dan het origineel, maar omdat ook de naam van ontwikkelaar van de app is aangepast, kunnen die apps met malware geïnstalleerd worden.

Hoewel het aantal gevallen van malware op Android in de afgelopen jaren fors is toegenomen, zijn er nog altijd geen grote uitbraken van malware op Android-apparaten geweest. Dat kan komen doordat de Play Store, voor veel gebruikers de enige plaats waar ze apps downloaden, voldoende bescherming biedt. Ook zou het kunnen dat criminelen hier juist op aansturen, zodat zo weinig mogelijk mensen hun telefoon tegen malware beveiligen.

Update 12:43: Oorspronkelijk stond in het artikel dat 'vermoedelijk' Android 4.0 of hoger zou zijn vereist om via de app Google Instellingen veilig te zijn, maar zoals diverse tweakers opmerken zijn ook oudere toestellen met Android 2.3 standaard beveiligd tegen exploits van deze bug. Daarmee zijn er bijna geen in Nederland verkochte toestellen standaard vatbaar voor een exploit van deze bug.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 09-07-2013 11:20 53

09-07-2013 • 11:20

53

Lees meer

Avast: miljoenen besmet door Android-malware die na dagen pas actief is
Avast: miljoenen besmet door Android-malware die na dagen pas actief is Nieuws van 3 februari 2015
Gerucht: Samsung stopt met Knox - update
Gerucht: Samsung stopt met Knox - update Nieuws van 10 juli 2014
Eset: 'Nieuwe Android-ransomware kan bestanden sd-kaart versleutelen'
Eset: 'Nieuwe Android-ransomware kan bestanden sd-kaart versleutelen' Nieuws van 6 juni 2014
Reveton-ransomware besmet nu ook Android-toestellen
Reveton-ransomware besmet nu ook Android-toestellen Nieuws van 5 mei 2014
Android 4.4 bevat gevaarlijke bug in cryptografische handtekening - update
Android 4.4 bevat gevaarlijke bug in cryptografische handtekening - update Nieuws van 4 november 2013
Google werkt aan 'kiosk' in Play Store
Google werkt aan 'kiosk' in Play Store Nieuws van 19 oktober 2013
Google erkent gevaarlijke bug in cryptomodule Android
Google erkent gevaarlijke bug in cryptomodule Android Nieuws van 15 augustus 2013
Eerste apps verschenen die cryptografische handtekening Android omzeilen
Eerste apps verschenen die cryptografische handtekening Android omzeilen Nieuws van 24 juli 2013
Beveiligers omzeilen cryptografische handtekening Android-apps
Beveiligers omzeilen cryptografische handtekening Android-apps Nieuws van 4 juli 2013
Meer producten en artikelen
Smartphones Google Android Beveiliging

Reacties (53)

-Moderatie-faq
53
48
39
5
1
7
Wijzig sortering
BoomSmurf 9 juli 2013 16:04
"Wel heeft een andere ontwikkelaar ontdekt hoe de bug werkt"

Op zich was deze bug in die kringen al redelijk bekend... De persoon in kwestie - Pau Oliva - hoort bij een inner circle van een groepje redelijk bekende security researchers, en was waarschijnlijk al maanden op de hoogte. Hij is overigens ook niet echt een ontwikkelaar. Ik ken zelf aardig wat mensen uit dat groepje (inclusief Pof) en minstens 4 daarvan wisten de details van deze exploit al een hele tijd. In dat groepje wordt normaliter niet geleakt, maar in dit geval heeft een Google medewerker hun interne patch aan CM gegeven - toen was het hek natuurlijk van de dam.

Iets anders wat meteen opvalt is dat Google's scanner naar mijn weten alleen APKs scant die buiten de Play Store om geinstalleerd worden. Wat natuurlijk de grote grap is hier, is dat hoewel de API van de Play Store over HTTPS loopt, de daadwerkelijke download (naar verluid) over HTTP gaat. Een man-in-the-middle attack is wellicht mogelijk op publieke Wi-Fi netwerken.

Deze man brengt het leuk: http://it.slashdot.org/co...?sid=3950207&cid=44220885
marek965 9 juli 2013 13:14
De optie apps verifiëren wordt pas zichtbaar als in de securityinstellingen installatie uit onbekende bronnen aanstaat
(Android 4.1.2, waarschijnlijk ook eerdere versies).
barchettanl @marek9659 juli 2013 14:44
"Laat Gogole apps van andere bronnen dan Google Play scannen en u waarschuwen in het zeldzame geval dat een app mogelijk schadelijk is. Meer informatie."
awenmaek 9 juli 2013 20:23
http://webwereld.nl/bevei...de-androids-tegen-apk-bug

Blijkbaar gaat het zelfs terug naar android 2.2
HKS-Skyline 9 juli 2013 11:24
Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving. Ik vind dat onder garantie ook verplicht beveiligingsupdates zouden moeten zitten.
Wh4ck0 @HKS-Skyline9 juli 2013 11:58
Je hebt garantie op de telefoon ja, maar wat jij er vervolgens mee doet heeft er niets mee te maken.

Op een auto heb je ook fabrieksgarantie, maar als jij met je golfje offroad rallys gaat rijden, dan moet je ook niet bij VW aankloppen omdat je achteras kapot is.

Natuurlijk heb je wel gelijk dat beveiligingsupdates wel geleverd zouden moeten worden, maar als je gewoon de Google Play Store gebruikt, dan heb je nergens last van.

[Reactie gewijzigd door Wh4ck0 op 22 juli 2024 20:32]

HKS-Skyline @Wh4ck09 juli 2013 12:25
In dit geval heb je dan nergens last van, maar als er een exploit word gevonden die een serieus risico met zich mee brengt dan kan je dus niet meer vertrouwen op het toestel, het hoeft dus niet afhankelijk te zijn van de gebruiker. Je vergelijking klopt daarom niet helemaal. Vergelijk het eerder met het kopen van een nieuwe auto waarvan na 1,5 jaar je er niet van op aan kan dat hij de hele rit vol gaat houden. Je loopt de kans met pech langs de weg te belanden. Het ligt niet volledig in jouw handen als een product niet veilig meer is.
HTC vertikt het bijvoorbeeld doorgaans om toestellen langer dan een jaar van updates te voorzien. Mocht er nu ineens een lek worden gevonden in de kernel wat niet met een app is op te lossen dan is het nog maar de vraag of ik binnen de garantietermijn van mijn toestel een werkende telefoon heb.
wph @HKS-Skyline9 juli 2013 14:20
Je hebt het duidelijk niet goed begrepen. Je moet als eerste toestaan dat applicaties uit onbekende bron geïnstalleerd mogen worden. En als je installeren uit onbekende bron toestaat, heb je dus nog de keuze om deze apps te laten verifiëren bij Google. Het ligt dus wel degelijk volledig in je eigen handen.

Verder: HTC brengt nog wel degelijk updates (bugfixes) uit, alleen de Android-versie blijft hetzelfde.

Daarnaast, Google maakt steeds meer onderdelen van Android onafhankelijk van het versienummer en die onderdelen worden dan toch geupdate.
HKS-Skyline @wph9 juli 2013 15:27
je hebt duidelijk niet goed gelezen wat ik schreef, ik had het over "andere exploits"
als er een exploit word gevonden die een serieus risico met zich mee brengt dan .....
En wat betreft HTC, ik heb al meer dan een half jaar geen enkele update meer gezien voor mijn nog geen 2 jaar oude HTC sensation.

En wat betreft je laatste punt, ik had het over de kernel, een exploit in de kernel kan je niet met een app update fixen.
pegagus @HKS-Skyline9 juli 2013 11:49
Nou, afgaande op het artikel ("Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug") vind ik toch bedenkelijk. Ik weet niet waarom die app wel of niet aan staat, maar het lijkt me dat die app altijd moet draaien, cq gestart moet worden bij installatie, tenzij de gebruiker die app bewust uit zet.
Tsurany
@pegagus9 juli 2013 11:55
Dat is dus precies wat er ook gebeurt. De functionaliteit staat standaard aan tenzij de gebruiker er voor kiest deze functionaliteit zelf uit te zetten. Alleen tijdens installatie moet er nog wel gekozen worden voor "Verify and install", anders wordt hij (in ieder geval op mijn Oppo Find 5) geïnstalleerd met de "Package installer" die niet deze verificatie uitvoert.
Dus zolang de gebruiker Google Settings geinstalleerd heeft en kiest voor "Verify and install" tijdens installatie is er geen enkel probleem.
Ikzellef @Verwijderd9 juli 2013 13:29
Deze opmerking raakt werkelijk kant nog wal. Hoewel Android mogelijk minder is als iOS, (wat niet mijn mening is) is het een OS dat geweldig presteert, en dus absoluut niet met vista vergeleken kan worden.
Dat jij het persoonlijk niet prettig vind, is jou zaak. Ik heb toch veel liever Android met z' n bestandbeheer, dan iOS waar klaarblijkelijk alles via iTunes of mail erop gezet moet worden.
jick @Verwijderd9 juli 2013 13:32
nieuws: Gerucht: Android 5.0 komt in oktober en biedt 'optimalisaties'

Ja, klopt helemaal, die conclusie van jou [/sarcasm]

Google is juist bezig met het maken van een zo snel en stabiel mogelijk OS, en daar slagen ze best goed in. Lees dat artikel nog maar eens na. Feit is dat Google z'n zaakjes goed op orde heeft, of je nu van android houdt of niet. Als't traag is wordt dat veroorzaakt door een extra OS laag over android heen, zoals Sense bij HTC bijvoorbeeld. Een kale android is bliksemsnel, zoek maar eens naar gebruikerservaringen van de Nexus, of een 'kale' Galaxy IV of One. En onveilig, alleen als je doelbewust eea uitschakelt. Maar laten we het dan ook maar niet hebben over een gejailbreakte iPhone...
Verwijderd @Verwijderd9 juli 2013 13:34
Ik ben ook geen fan van Android, maar stel je niet aan. Of je nu windows, android of ios op je apparaat hebt staan, het maakt in de praktijk geen bal uit.

Ze zijn allemaal te kraken, ze zijn allemaal onveilig en ze worden allemaal uiteindelijk traag. Maar het belangrijkste van allemaals, je kunt met alle drie hetzelfde. Het is maar net wat je fijn vind of gewend bent.
sfranken @HKS-Skyline9 juli 2013 12:45
... dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de Europese wetgeving...
Ik wil hier even op inhaken. De Nederlandse wetgeving zegt dat je garantie op een product hebt zolang je het deugdelijk acht. Dat is dus, bij een smartphone, vier a vijf jaar.

Nou weet ik ook wel dat de Europese wet de Nederlandse wet "overruled" maar toch, gekocht in Nederland = onder Nederlandse wet = Garantietermijn volgens de Nederlandse wet.
basvanduren @HKS-Skyline9 juli 2013 12:48
Prima dat je dat vind. Het is verdomd lastig om twee jaar softwareservice in een prijs te verwerken.
SuperDre @HKS-Skyline9 juli 2013 13:24
Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving.
En daar zit dus ook meteen de grootste culprit van Android, elke telefoonfabrikant heeft hun eigen versie en doen lang niet altijd netjes de boel bijwerken. Als er gewoon gewerkt zou worden met een standaard Android, dan zou iedereen (mits de kernel het ondersteund) netjes kunnen updaten zonder afhankelijk te zijn van de fabrikant zelf (hooguit voor enkele hele speciale onderdelen)..
Verwijderd @HKS-Skyline9 juli 2013 13:25
In de eerste plaats is hier geen europese wetgeving van toepassing omdat de Nederlandse garantie wetgeving meer rechten geeft aan de koper dan de europese: in Nederland moet een product zo lang mee gaan als redelijkerwijs van een product verwacht mag worden. Hierin voorziet BW 7:17.

Het is echter moeilijk te bewijzen dat je in geval van malware recht hebt op garantie. Als jij namelijk zelf de malware geïnstalleerd hebt - ook al is het uit onwetendheid - ligt het niet aan de verkoper (de fabrikant is geen partij bij garantie, dat is tussen verkoper en koper) dat het defect ontstaan is. En de meeste Android malware komt op die manier binnen.
Rigs 9 juli 2013 11:32
dat laatste zinnetje uit ZDnet is ook toch niet onbelangrijk tweakers

They may not need to worry too much. Scigliano added, "We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue - and Verify Apps provides protection for Android users who download apps to their devices outside of Play."
keitje @Rigs9 juli 2013 11:37
Ik vermoed dan dat het grootste gedeelte dan toch wel veilig is. Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
Verwijderd @keitje9 juli 2013 12:26
In de VS/EU misschien. Veel telefoons in China en andere landen komen echter met alternatieve app stores.

Zelfs als Google Play op je telefoon aanwezig is ben je daar vaak gedwongen een alternatieve store te gebruiken omdat veel apps simpelweg de melding "Not available in your country." geven, terwijl de app wel gewoon goed werkt als je hem eenmaal ergens vandaan hebt gehaald.
Verwijderd @keitje9 juli 2013 16:28
Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
Alle Kindle fire gebruikers bijvoorbeeld
blouweKip @Verwijderd9 juli 2013 18:03
Op de kindle fire draait een zwaar aangepaste versie van android, dat is de verantwoordelijkheid van amazon.
-Colossalman- 9 juli 2013 11:43
De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben.

Google instellingen zit ook op de oudere versies van Android(gechecked op v2.3.6), echter de optie 'Apps verifiëren' zit hier niet in.
Op mijn Nexus 4(v4.2.2) en mijn DesireHD(Custom rom v4.2.2) staat het inderdaad standaard aan.

Je kunt het terug vinden onder : Instellingen > beveiliging > Apps verifiëren
commentator @-Colossalman-9 juli 2013 12:08
Heb hier v2.3.5 stockrom van desirehd en daarin staat Apps verifiëren netjes aan
-Colossalman- @commentator9 juli 2013 13:20
Heb het hier nog even gecontroleerd.
Deze Galaxy S Plus versie 2.3.6 heeft bij het instellingen menu alswel Google Instellingen(wat alleen instellingen zijn gericht op Google diensten) geen optie om de apps ter verifieren. Schijnbaar heeft Samsung deze eruit gesloopt.
thedicemaster @-Colossalman-9 juli 2013 13:30
of je hebt de update nog niet ontvangen.
het is een stille app update, en die worden soms vertraagd geïnstalleerd.
het zelfde gebeurt ook vaak met de play store.
-Colossalman- @thedicemaster9 juli 2013 16:22
@marek965 hieronder heeft het bij het juiste eind.
Zodra ik onder(v2.3.6) instellingen>applicaties "onbekende bronnen" aanvink dan krijg ik onder Google instellingen de optie 'Apps verifiëren".

Het lijkt er bij mijn Nexus4(v4.2.2) op dat in de recentere versies(ik geloof dat er hier ergens vanaf 4.0.4 genoemd werd) de optie standaard aanstaat ook met optie "onbekende bronnen" uit.
Schramowski @-Colossalman-9 juli 2013 12:01
Op Android 2.3.7 heb ik wel Google Settings inclusief Verify Apps. Staat standaard aan.
Psyed 9 juli 2013 11:41
Ik ben zelf geen groot van van Apple en de producten. Maar Apple doet wel wat bijna alle andere fabrikanten met Android toestellen verwaarlozen; het updaten van de apparaten. Hoewel ik het idee heb dat fabrikanten dit steeds beter beginnen te doen. (HTC One X ruim een jaar na dato nog een update naar de nieuwe Android, Galaxy S2 nog niet zo lang geleden een update etc.)

Ik ben wel blij dat Google en/of andere ontwikkelaars van het Android platform zorgen dat dit soort belangrijke problemen worden opgelost. Nu maar hopen dat toestellen beter geüpdatet worden.
sfranken @Psyed9 juli 2013 12:48
Het probleem is hier niet Google maar de OEM's die telefoons uitbrengen. Google rolt best vaak updates uit (ik heb een Nexus, dus geen OEM crap), maar de OEM's houden dat vaak niet bij omdat ze custom software meeleveren met hun Android telefoons. Denk aan HTC's Sense of Samsung's TouchWiz.

Het is, blijkbaar, erg lastig voor een OEM om point-releases te maken voor hun firmwares. Blijkbaar is dat in hun ogen teveel moeite voor bijna geen winst.

Bovendien wordt je zo een beetje gedwongen om een nieuw toestel aan te schaffen als je écht de nieuwe Android versie wilt. De massa boeit dat 0,0 maar de Tweakers onder ons (die geen zin hebben om te rooten niet weten hoe dit moet) zijn daar anders in.
Arcticwolfx @sfranken9 juli 2013 14:29
Een beetje Tweaker kan een telefoon best wel rooten toch! Het is vrij makkelijk om er dan een custom rom of stock android op te zetten met de nieuwste updates.
The Underminer 9 juli 2013 12:33
In de beschrijving van die verificatie functie staat dat het alleen apps van buiten de store checkt. Als men deze exploit dus in een app in de store krijgt ben je niet beschermd. Maar wss doet de server dezelfde check, dus geen probleem
awenmaek @The Underminer9 juli 2013 13:03
Voordat een app in de app store geraakt zal er ook een check gebeuren of de "signature" klopt.
Daarnaast zou je naast deze exploit dan ook nog aan het google play paswoord moeten geraken van de uitgever van de "originele app".
subcultural 9 juli 2013 11:58
Security issue gemeld en aangedikt door een firma dat antivirus software verkoopt op Android. Met andere woorden: niemand van de Android gebruikers zal geïmpacteerd worden, indien ze zich niet buiten de Play Store wagen voor hun apps en niet zomaar OK klikken op de 2 extra security checks in Jelly Bean wanneer er via Third Party plugins een app ongevraagd wordt gedownload en geprompt wordt deze te installeren.

fijn stukje leesvoer over de "Android ecosysteem is onveilig" farce: http://blogs.computerworl...445/android-malware-scare
jejeh 9 juli 2013 12:34
Android 2.3.4 rom : google instelling auto push en apps verifiëren staat aan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq