Een bug in Android gaf malafide apps de mogelijkheid zich voor te doen als andere apps. Die apps hadden vervolgens meer rechten dan de standaard Android-app.

De bug werd ontdekt door beveiligingsbedrijf Bluebox Labs, meldt The Guardian.

De zogenoemde Fake ID-bug gaf malafide apps in potentie de mogelijkheid zich aan de hand van een beveiligingscertificaat voor te doen als een andere app. Zo'n certificaat is juist bedoeld om de echtheid en betrouwbaarheid van een app te garanderen.

Door de bug zouden malafide apps zich onder meer voor kunnen doen als app van Google of Adobe. Dat levert potentieel gevaar op, omdat apps van Google en Adobe bovengemiddeld veel bevoegdheden in Android hebben. Door die bevoegdheden zou een malafide app ongemerkt malware op een Android-apparaat kunnen installeren.

Geen misbruik

Toch is er volgens Google geen misbuik van de kwetsbaarheid gemaakt. Google heeft de bug in de update naar Android 4.4.3 gerepareerd, maar lang niet alle Android-gebruikers hebben toegang tot die update. Google zegt ook een beveiligings-patch onder Android-partners te hebben verspreid.

Dat maakt dat de kwetsbaarheid mogelijk nog aanwezig is in de 82,1 procent van de Android-apparaten die Android 4.4 of lager gebruikt. Toch lopen gebruikers die enkel apps via de Play Store downloaden volgens Google geen gevaar.

"We hebben alle apps die voor Google Play zijn ingediend en ook apps van buiten Google Play gescand en we hebben geen bewijs van pogingen tot misbruik van dit beveiligingslek gezien", reageert Google.

Malware in een Android-app: Zo makkelijk is het

Bijna 20 procent van Android-toestellen op laatste versie

Heb je een mobiele virusscanner voor je smartphone nodig?