Android-gebruikers opgelet: Door deze Google-beveiligingslek kunnen criminelen jouw geheime codes en informatie stelen
Via malafide apps kunnen jouw tweefactorauthenticatie-codes (2FA-codes) en andere gevoelige informatie gestolen worden. Dat ontdekten Amerikaanse onderzoekers. Dit staat ook bekend als Pixnapping: verwijzend naar het 'stelen van pixels', meldt Security.NL op zijn site. Zo werkt het en zo herken je valse apps in de Google Play Store.
Tweefactorauthenticatie (of tweestapsverificatie) is een extra beveiligingslaag bij het inloggen. Naast je wachtwoord gebruik je ook een extra code, bijvoorbeeld via een app of sms. Dit maakt het inloggen een stuk veiliger, doordat er een extra beveiligingslaag is. Alleen kwamen onderzoekers er begin dit jaar achter dat je dit kunt omzeilen via nep-apps op Android-telefoons.
Google heeft al verschillende maatregelen getroffen om 'Pixnapping' tegen te gaan, maar het is nog niet helemaal gelukt.
Zo werkt deze aanval op Android
Bij een Pixnapping-aanval kunnen oplichters meekijken met wat er op jouw telefoonscherm zichtbaar is. Op deze manier kunnen zij gevoelige informatie achterhalen, bijvoorbeeld over je Gmail en Google-accounts en apps zoals Signal, Google Authenticator en Google Maps. De onderzoekers ontdekten dat zo'n frauduleuze app binnen 30 seconden 2FA-codes kan stelen zonder dat jij als gebruiker hier iets van merkt.
Deze Android-apparaten zijn kwetsbaar
De aanval is getest op Android-versies 13 tot en met 16 en toestellen zoals de Google Pixel 6 t/m 8 en de Samsung Galaxy S25. Andere Android-telefoons zijn (nog) niet onderzocht, maar volgens de onderzoekers werkt de aanval op dezelfde manier. Andere toestellen zijn dus ook mogelijk kwetsbaar voor de Pixnapping-aanvallen. Elke werkende Android-app kan zo'n aanval uitvoeren, ongeacht welke rechten de app heeft. Het is bij de onderzoekers niet bekend of dit momenteel daadwerkelijk wordt gebruikt door oplichters.
Wat doet Google aan deze aanval?
De Pixnapping-aanval is sinds februari bekend bij Google. In september bracht het techbedrijf een beveiligingsupdate uit, maar de onderzoekers vonden een omweg om alsnog de aanval uit te voeren. Google heeft beloofd om in december met een nieuwe beveiligingspatch te komen om ook dit probleem op te lossen.
Zo blijf jij veilig tegen Pixnapping-aanvallen
Heb jij een Android-apparaat? Dan kun je zelf deze acties ondernemen:
- Installeer altijd direct de nieuwste Android-updates zodra deze beschikbaar zijn.
- Download apps alleen via de Google Play store en niet via vage websites of onbekende aanbieders.
Team Android komt bovendien met de volgende tips om malafide apps ook in de Google Playstore te herkennen:
- Controleer de aanbieder: legitieme apps komen meestal van bekende bedrijven en ontwikkelaars met een goede reputatie. Klik op de naam van de aanbieder om te zien welke apps deze verder heeft uitgebracht. Zo krijg je een beter beeld van de betrouwbaarheid.
- Lees de gebruikersrecensies: veel negatieve of tegenstrijdige reacties of opvallend veel korte positieve reviews zijn verdacht.
- Check het aantal downloads: betrouwbare apps worden vaak duizenden tot miljoenen keren gedownload. Apps met heel weinig installaties zijn ook eerder verdacht.
- Lees goed de beschrijving: Bevat de tekst taalfouten of onjuiste informatie? Dan is dit een verdacht signaal.