Apps kunnen beveiliging van Android 4.3 Jelly Bean omzeilen
Apps kunnen de beveiliging van telefoons en tablets die op Android 4.3 Jelly Bean draaien eenvoudig omzeilen. Een bug zorgt ervoor dat de apps geen wachtwoord, ontgrendelpatroon of code hoeven in te voeren om beveiligingsinstellingen te kunnen wijzigen.
De kwetsbaarheid is ontdekt door Curesec, dat zijn ontdekking bespreekt op de mailinglijst voor beveiligingsonderzoekers Full Disclosure. Een Android-toestel kan standaard worden beveiligd met een wachtwoord, pincode of ontgrendelpatroon. Zodra deze beveiliging is ingesteld kunnen de beveiligingsinstellingen van het apparaat alleen nog worden gewijzigd door eerst dit wachtwoord, deze code of dit ontgrendelpatroon in te voeren.
Beveiliging omzeilen
De bug maakt het echter mogelijk dit proces te omzeilen. Apps kunnen hierdoor op ieder moment de beveiligingsinstellingen van het apparaat wijzigen, zonder hiervoor een wachtwoord, pincode of ontgrendelpatroon te hoeven invoeren. Hierdoor kan de beveiliging in zijn geheel worden uitgeschakeld door bijvoorbeeld een malafide app.
De kwetsbaarheid is alleen aanwezig in Android 4.3 Jelly Bean. Curesec stelt het lek op 11 oktober aan Google te hebben gemeld. Google heeft geen uitspraken gedaan over de datum waarop de kwetsbaarheid definitief is verholpen, maar het lek lijkt in Android 4.4 Kitkat niet langer aanwezig te zijn.