Dmitri Alperovitch, voormalig onderzoeker bij McAfee, laat weten een lek in een component van Android te hebben gevonden. Door het lek is het mogelijk om controle te krijgen over iemands Android-apparaat.

Alperovitch is medeoprichter van het nieuwe beveiligingsbedrijf Crowdstrike, het bedrijf dat het lek heeft ontdekt. Hij zegt zich voor te kunnen doen als een betrouwbare verzender zoals de telecom-provider van de gebruiker, en op die manier een e-mail of tekstberichtje kan versturen waarbij de gebruiker wordt aangespoord om op een link te klikken. Vervolgens wordt er een trojan geïnstalleerd waarna de aanvaller onder andere gesprekken kan afluisteren en de locatie van de telefoon kan bijhouden. Volgens Alperovitch is er nog geen software beschikbaar om dit tegen te kunnen gaan.

Ook iPhone is mogelijk slachtoffer.
Het lek zou zowel in de webkit-versies van Chrome en Safari maar de aanval is vooralsnog alleen uitgewerkt voor Android-toestellen maar Alperovitch laat op Twitter weten. Om de aanval tegen te gaan zal er waarschijnlijl een firmware-update nodig zijn en wat dat betreft heeft Apple de betere kaarten in handen om het probleem tegen te gaan omdat er bij Android een grote fragmentatie van aanbieders is die niet altijd even snel zijn met firmware updates uitrollen naar hun klanten.

Demo van malware
Vandaag toont Alperovitch een demo van de malware op de RSA-conferentie in San Francisco. Google heeft onlangs aangegeven een miljoen dollar aan prijzengeld ter beschikking te stellen aan hackers die lekken weten te melden in Chrome tijdens. Meer dan aanvankelijk zou worden uitgekeerd tijdens Pwn2Own. Gelukkig heeft Google als voorwaarde dat het om fouten in Chrome voor Windows en Mac OS gaat en niet voor de mobiele platformen. Dit lek zou vast in de categorie 'full exploit' zijn gevallen waarbij Crowdstrike $60.000 had kunnen verdienen.