Lekken maken vingerafdrukken en creditcardgegevens Android-gebruikers kwetsbaar
Onderzoekers van de Zwitserse École Polytechnique Fédérale De Lausanne (EPFL) hebben meer dan 30 kwetsbaarheden ontdekt in het Android-besturingssysteem. Door de kwetsbaarheden kunnen kwaadwillenden onder meer vingerafdrukken en creditcardgegevens van Android-gebruikers buitmaken.
De onderzoekers bestookten Android met willekeurige code, en wisten zo in totaal 34 kwetsbaarheden op te sporen. 17 van de ontdekte beveiligingsproblemen zijn als kritiek beoordeeld. Mathias Payer, security-onderzoeker en hoofd van het HexHive Laboratory van de EPFL, stelt in een verklaring dat kwaadwillenden via de kwetsbaarheden onder meer persistente toegang tot Android-apparaten kunnen verkrijgen. "Het belangrijkste risico is dat hackers toegang kunnen krijgen tot je systeem en levenslang toegang kunnen krijgen tot je data zolang je dezelfde telefoon hebt. Je telefoon is niet langer veilig."
'Smartphones zijn steeds meer doelwit van aanvallers'
"Aanvallers richten zich al sinds een aantal jaren meer en meer op gebruikers van mobiele devices. Hoewel het onderzoek door EFPL specifiek de kwetsbaarheden van Android devices belicht, zijn beide grote mobiele platforms (red: Android en iOS) het doelwit en daar is een goede reden voor. Omdat steeds meer gegevens worden gegenereerd op en toegankelijk zijn via smartphones, zijn deze mobiele platforms inmiddels voor zowel consumenten als mobiel-gerichte organisaties de plek voor al hun digitale activiteiten", aldus Michael Covington (foto), Vice President of Portfolio Strategy bij Jamf.
"We adviseren onze klanten om een mobiele securitystrategie te ontwikkelen die draait om gelaagde verdediging. Als basis zouden bedrijven zich moeten focussen op het inrichten van goede device-hygiëne, om kwetsbaarheden in besturingssystemen en applicaties te bestrijden die zonder twijfel zullen worden geïdentificeerd en uitgebuit. Uit ons onderzoek blijkt zelfs dat 40% van de mobiele gebruikers een device gebruikt met reeds bekende kwetsbaarheden. Dat is laaghangend fruit waar securityteams zich op zouden moeten richten, voordat er een incident plaatsvindt."
'Zie security als een middel'
"Voortbouwend op die basis is het noodzakelijk dat mobiele security ook defensieve mogelijkheden bevat om veelvoorkomende aanvallen tegen te houden, zoals schadelijke apps die app store-bescherming omzeilen en phishing-aanvallen die gebruikers ertoe verleiden om gevoelige gegevens en loginreferenties te geven. Vorig jaar bleek uit data dat phishing-aanvallen 50% succesvoller waren op mobiele devices, wat nog eens onderstreept hoe belangrijk het is om dit kwetsbare aanvalsoppervlak te beschermen. Maar organisaties moeten security ook gaan zien als een middel. Veilige, versleutelde toegang tot belangrijke applicaties is wat een mobiel device uiteindelijk nuttig maakt voor werk en dat zal de productiviteit verhogen", zegt Covington.
"Daarbij mogen we niet vergeten dat zero-day dreigingen zeer reëel zijn en actief worden uitgebuit op mobiel. 2% van de onderzochte organisaties is vorig jaar getroffen door mobiele malware, maar de trend rond advanced persistent threats (APT’s) en mobiele spyware laat zien dat deze succesvolle aanvallen zo vroegtijdig mogelijk moeten worden geïdentificeerd om de schade te beperken die ze bij bedrijven kunnen aanrichten."
Meer informatie over de ontdekte kwetsbaarheden is hier beschikbaar.