Een beveiligingsonderzoeker heeft twee ernstige gaten in het mobiele besturingssysteem Android gevonden. Onderzoeker Gal Beniamini ontdekte de problemen in de zogenoemde schijfencryptie van Android. Die versleuteling van het toestel werkt met een combinatie van hardware en software.

Dat maakt een snelle en volledige reparatie van de gevonden gaten moeilijk. Beniamini heeft zijn vondsten in januari en mei van dit jaar al aan Google doorgegeven, die de bugs met updates heeft gerepareerd.

De kwetsbaarheden maken het mogelijk om door te dringen tot het deel van het systeem waar encryptiesleutels worden bewaard. Zonder zo'n sleutel hebben pogingen tot het kraken van het reguliere wachtwoord geen zin. Zelfs met de sleutel moeten wachtwoorden alsnog worden geraden, waardoor gebruikers met sterke wachtwoorden een minder groot gevaar lopen.

Onderzoekers van beveiligingsbedrijf Duo Security zeggen tegen Ars Technica dat 37 procent van hun klanten de updates nog niet ontvangen heeft, mede door Android-fabrikanten die de updates langzaam uitrollen.

Hardwarematig
Volgens Beniamini zijn de kwetsbaarheden bovendien mede mogelijk dankzij fouten in de hardware die onder meer in Qualcomm-chips wordt gebruikt. De kwetsbaarheden die Beniamini heeft gevonden zitten namelijk in TrustZone, een hardwarematig beveiligingssysteem dat door chipontwerper ARM is ontwikkeld.

Dat systeem wordt door onder meer Qualcomm gebruikt, en kan alleen worden verbeterd door toekomstige chips fysiek aan te passen. Beniamini heeft Qualcomm ook al op de hoogte gebracht van de kwetsbaarheden.

Sinds Android 5.0 is full disk encryption beschikbaar, sinds Android 6.0 verplicht Google de volledige schijfencryptie voor nieuwe toestellen.