Check Point Software Technologies heeft een nieuwe zwakke plek ontdekt in Android. Het gaat om een proces waarbij data gekaapt kan worden en informatie opgeslagen en gecommuniceerd kan worden op Android devices via de Binder, het zogenaamde message passing-mechanisme in Inter-process Communication (IPC).
Dat hebben onderzoekers van de Malware en Vulnerability Research Group van Check Point verteld tijdens het Black Hat event op donderdag 16 oktober in Amsterdam. Zij presenteerden daar hun onderzoek onderzoek met als titel: ‘Man in the Binder: He Who Controls the IPC, Controls the Droid’, naar de architectuur van Android.
De Binder blijkt als ‘single point of communication’ een belangrijk doelwit te zijn voor vrijwel alle Android malware. In andere besturingssystemen bevat een proces een groot aantal handles voor de hardware van het systeem: hard disk, display adapter, netwerkkaart, etc. De architectuur van Android maakt het mogelijk voor een proces (of een stuk malware) om dezelfde taken te bereiken via de Binder, waarmee het controle krijgt over alle interacties van een applicatie.
Gegevens die via de Binder worden gecommuniceerd, kunnen misbruikt worden om gevoelige data te kapen, zoals toetsaanslagen, in-app-activiteiten zoals financiële transacties en sms-gegevens. De Binder kan volgens Check Point de nieuwe hit worden op het gebied van mobiele malware-aanvallen.
De grote waarde voor aanvallers zit er volgens Checkpoint-security researcher Nitay Artenstein in dat weinigen beseffen hoe groot de waarde van de Binder is in het Android-besturingssysteem. Checkpoint openbaart de resultaten uit het onderzoek zodat de security- en ontwikkelaarsgemeenschap beter in staat is data die via de Binder loopt goed te beveiligen en te beschermen.
