Beveiligingsonderzoekers hebben een kwetsbaarheid gevonden in Android waarmee apps de permissies van andere apps kunnen overnemen. Volgens de ontdekkers wordt het lek ook actief misbruikt, maar niet door apps in de Play Store.

De kwetsbaarheid werd ontdekt door het Noorse securitybedrijf Promon. Het bedrijf noemt de kwetsbaarheid Strandhogg. Die maakt het mogelijk voor geïnfecteerde apps om de permissies van legitieme applicaties over te nemen. Zo kan een aanvaller via zulke apps bijvoorbeeld toegang krijgen tot sms'jes om zo 2FA-codes te onderscheppen, of toegang krijgen tot bestanden op de schijf.

De kwetsbaarheid zit in de manier waarop Android wisselt tussen processen. Via een proces dat 'taskAffinity' heet, kan een app de identiteit overnemen van een andere taak die op dat moment actief is. De bug kan dan actief worden op het moment dat een gebruiker een legitieme app opstart, waarop de nep-app kan vragen voor bepaalde permissies. Het lijkt er dan op alsof de legitieme app vraagt om die permissie. Gebruikers zouden daardoor eerder geneigd zijn die te accepteren.

Naast het vragen om permissies is het met deze methode ook mogelijk een phishingpagina te tonen om de inloggegevens van een gebruiker te stelen. De methode werkt op iedere versie van Android, ook op versies die geen root-toegang hebben. De onderzoekers probeerden de methode uit op de 500 populairste Android-apps in de Play Store en wisten de kwetsbaarheid op al die apps uit te buiten.

De applicaties stonden niet in de Play Store zelf, maar waren te downloaden via een dropper-app. Dat zijn applicaties die wel in de Play Store staan, maar één of meerdere apps van daarbuiten installeren. Zulke apps doen zich voor als legitieme apps, maar worden doorgaans gebruikt om malware te installeren. De applicaties zijn inmiddels verwijderd door Google, zeggen de ontdekkers.