Ernstig beveiligingslek drukt Android met de neus op de feiten

Fabrikanten van smartphones hebben nog ongeveer een week de tijd om een beveiligingslek in Android te dichten, dat 950 miljoen toestellen in gevaar zou brengen. Op de roemruchte Black Hat-beveiligingsconferentie in Las Vegas zullen onderzoekers die het lek eerder deze week aankondigden, een zogenoemde exploit vrijgeven. Dan wordt misbruik een fluitje van een cent.

Via de aanval, waarbij criminelen alleen maar kwaadaardige code in een video hoeven te verstoppen en deze via een programma als Hangouts hoeven te verspreiden, kan een Android smartphone als het ware volledig worden ‘overgenomen’. Criminelen kunnen de camera bedienen of de microfoon aftappen. Met weinig meer dan het telefoonnummer van het slachtoffer.

Het ernstigste lek ooit, beweerden boze tongen maandag, maar Android-ontwikkelaar Google heeft dat beeld al wel ietwat bijgesteld. Aanvallers krijgen bijvoorbeeld geen onbeperkte rechten omdat Android apps in een zogenoemde beschermde zandbak draaien. Daarnaast stelt Google dat het lek eigenlijk al met versie 5.1 van Android is gedicht. Dat was tot dusverre niet echt duidelijk.

Maar daar schuilt een groot gevaar. Weliswaar is Google zelf altijd vlot met het uitrollen van updates voor haar eigen Nexus toestellen, het merendeel van de gebruikers is afhankelijk van fabrikanten als LG, Samsung, HTC en Sony.

Het grootste deel van die fabrikanten draait eigen ‘skins’ bovenop Android. Een update vergt dus wat meer werk dan het sec doorgeven van de software van Android. Dat is de reden dat oudere Android toestellen doorgaans niet meer worden bijgewerkt.  Bijna de helft van de mensen gebruikt een Android-versie van voor oktober 2013, wat het hele ecosysteem in gevaar zou kunnen brengen.

Eerder deze maand deed de Consumentenbond, gesteund door 10.000 handtekeningen, een oproep om Android smartphones langer van updates te voorzien. Consumenten vinden het een groot probleem dat veel fabrikanten Android-smartphones maar een beperkte tijd bijwerken naar nieuwere versies. Apple werkt zijn systeem vaker bij, ook voor oudere iPhones en iPads. Consumenten ergeren zich er ook aan dat het erg lang duurt voordat de updates beschikbaar worden gesteld.

Misschien dat lekken als die van maandag eindelijk eens verandering gaan brengen in de opstelling van fabrikanten. Die hebben er immers zelf ook baat bij dat Android niet het imago krijgt van een soort gatenkaas. Van consumenten kan bovendien niet worden verwacht dat ze ieder jaar weer een nieuwe smartphone kopen om bij te blijven. Fabrikanten zouden op zijn minst nog drie jaar lang ondersteuning moeten bieden voor oudere toestellen. Ook oudere toestellen zijn vaak nog snel genoeg om nieuwe systeemsoftware te draaien.