Hackers hebben een weg langs Androids Bouncer gevonden door de malwarescanner simpelweg voor de gek te houden. Een app kan zijn verdachte gedrag verbergen totdat het toegelaten is tot Google Play.

Beveiligingsprogramma Bouncer, dat nieuwe applicaties voor Android scant op malware, blijkt niet waterdicht. De bekende mobiele security-researchers Charlie Miller en Jon Oberheide hebben een manier gevonden om Bouncer te doen geloven dat een kwaadaardige applicatie aan alle eisen voldoet om Google Play binnen te komen.
Ingenieuze inbraak

De methode waarop de twee hackers dit doen is ingenieus. Google Bouncer controleert alle nieuwe apps in een virtuele omgeving waarbij deze aan alle tests wordt onderworpen in een zoektocht naar verdachte sporen van malware. Miller en Oberheide hebben een manier gevonden waarop een kwaadaardige app weet dat het gemonitord wordt en zolang activiteiten kan uitstellen en verbergen.

In eerste instantie maakten de hackers valse Google-accounts aan om apps aan Google Play toe te voegen. Een van die apps bevatte een functie die op afstand communiceerde met een command-and-control (C&C) server en ondertussen Bouncer volledig scande op zijn beveiligingsactiviteiten. Met deze verzamelde informatie volgde een nieuwe app die gebruik kon maken van deze analyse.
Opmerkelijke vondsten

Gedurende hun research doken de twee nog meer opmerkelijke zaken op. Zo kwamen zij erachter op welk e-mailadres Googles testtelefoon staat geregistreerd, de hieraan gekoppelde contactgegevens en dat Bouncer slechts twee foto's herbergt onder de namen Cat.jpg en Ladygaga.jpg. Ook waren er hints dat de telefoon in kwestie op virtualisatiesoftware QEMU draait en dat het ip-adres aan Google toebehoort.

De hackers werden overigens meerdere malen gepakt door Google, naar eigen zeggen om erachter te komen wat daarvoor nodig was. De consequenties, zoals het teruggestuurd krijgen van grote hoeveelheden data, bleken handmatig uitgevoerd vanaf een Google ip-adres. Iets wat opmerkelijk is aangezien Bouncer - in tegenstelling tot bijvoorbeeld de beveiliging van iOS - verder volledig automatisch werkt. Een teken dat Google wel degelijk echte ogen laat meekijken.
'Lek is lange-termijnprobleem'

De researchers hebben voor hun bekendmaking Google ingelicht over hun vondsten. Oberheide noemde tegenover security-nieuwssite ThreatPost het lek "niet-triviaal" en "een lange-termijnprobleem." De verwachting is dan ook dat Google snel met aanpassingen komt voor Bouncer.

Google lanceerde begin februari Bouncer met de mededeling hiermee "een nieuwe laag aan de Android beveiliging toe te voegen." De scanner analyseerde volgens Google toen al enige tijd apps op malware en ander "verdacht gedrag". Bouncer zorgde volgens de zoekgigant met terugwerkende kracht voor een afname van 40 procent van potentiele malware.