NOSop3

Nieuw Android-lek: gewoon een beetje opletten

ANP

Besturingssysteem Android heeft weer te maken met een lek, waardoor het voor criminelen mogelijk is om jouw DigiD, ING-app en Pay-pal te kraken. Toch hoef je je niet enorme zorgen te maken, gewoon een beetje opletten.

Onderzoekers van de Vrije Universiteit ontdekten het lek en vertelden dat aan Google. Maar het bedrijf achter Android doet er helemaal niets aan, zeggen de verbijsterde onderzoekers. "Bij de politie namen ze het wel serieus". Ook ING is geschrokken, en zegt aan een oplossing te werken.

"We hebben eind 2014 al gemeld bij Google dat er een probleem is, maar we zijn van het kastje naar de muur gestuurd. Het team dat gaat over Android zegt dat het een probleem is van browser Chrome en de mensen die gaan over de browser zeggen dat het een probleem van Android is. En intussen gebeurt er niks. Vandaar dat we nu de publiciteit zoeken", zeggen de onderzoekers.

Tientallen Nederlandse Android-apps gaan onveilig om met persoonlijke gegevens, zeggen de onderzoekersvagueonthehow / Flickr / CC BY 2.0

Inloggegevens

De onderzoekers wisten de beveiliging van onder meer DigiD, ING Bankieren en Paypal te kraken. Daarna konden ze alles met de telefoons doen. De oorzaak? Gebruikers hebben dezelfde inloggegevens voor zowel hun computer, tablet en smartphone. Hackers die Google's browser Chrome kraken, kunnen zo via een app bijvoorbeeld geld van je rekening wegsluizen.

"Wat de onderzoekers hebben aangetoond is dat als hackers je gebruikersnaam en wachtwoord hebben van je Gmail-account, en je hebt een Android-telefoon, dat ze dan een appje op je telefoon kunnen zetten. Dat kan een app zijn die probeert je bankgegevens te stelen", zegt tech-redacteur Rachid Finge.

Genoeg tekenen dat er iets mis is

Maar dat betekent niet dat het een fluitje van een cent is, wat de onderzoekers wel beweren. Eerst moet een hacker je inloggegevens in handen krijgen. Dan moet er een nieuwe app geïnstalleerd worden op je telefoon. "De kans is groot dat je dat meteen in de gaten hebt, want er staat ineens een vreemde app op je telefoon", zegt Finge. "Die onbekende app vertelt je vervolgens dat bijvoorbeeld je ING-app ge-update moet worden, nog een teken dat er iets niet klopt." 

Doe je dat toch, dan wordt je ING-app vervangen door een app die jouw gegevens door kan spelen aan de criminelen. Maar die app vraagt wel eerst om toegang tot je gegevens. 

Ja, het is een lek, maar aan de andere kant: je bent natuurlijk altijd de sjaak als een hacker je gebruikersnaam en wachtwoord in handen heeft

Rachid Finge

Geen paniek

Kortom, zat tekenen dat er iets mis is voordat het daadwerkelijk misgaat. Daarom hoef je je volgens Finge niet meteen enorm druk te maken. "Ja, het is een lek, maar aan de andere kant: je bent natuurlijk altijd de sjaak als een hacker je gebruikersnaam en wachtwoord in handen heeft."

"Het is het bekende advies: zorg voor een sterk wachtwoord en zorg dat je meerdere wachtwoorden gebruikt. En als er dan toch een appje op je telefoon verschijnt dat je nog nooit hebt gezien, niet op klikken maar weggooien.