Een beveiligingsprobleem in Android zorgt ervoor dat een kwaadwillende enkel iemands telefoonnummer hoeft te weten om in veel gevallen toegang te krijgen tot zijn systeem. Het is onduidelijk of er al een patch is voor het probleem.
Details over het beveiligingsprobleem ontbreken vooralsnog. Duidelijk is wel dat het gaat om een beveiligingsprobleem in het Stagefright-framework in Android, dat verantwoordelijk is voor het afspelen van filmpjes. Een aanvaller kan malware verstoppen in de video, dat wordt ingeladen zodra het filmpje wordt gestart. Daarbij krijgt een aanvaller vergaande bevoegdheden: zo kan hij de microfoon en de camera activeren of het scherm 'aftappen'.
In het geval van bijvoorbeeld Hangouts worden filmpjes direct verwerkt door Stagefright, waardoor de malware direct bij het ontvangen al wordt geactiveerd. Een slachtoffer hoeft dus niet zelf een malafide filmpje op te starten. Beveiligingsonderzoeker Joshua Drake van Zimperium, die het probleem ontdekte, zegt tegenover NPR dat bij de standaard-berichten-app van Android filmpjes moeten worden ingeladen voordat ze schade kunnen veroorzaken. Het is niet duidelijk of apps als WhatsApp en Telegram dat ook doen, of filmpjes net als Hangouts direct inladen.
Ook kan de bug worden misbruikt door aanvallers op internet, door video's met malware aan te bieden aan potentiële slachtoffers. Dat kan bijvoorbeeld via malafide advertenties. Op die manier kunnen grote hoeveelheden Android-gebruikers worden geïnfecteerd met malware.
Daarnaast is onduidelijk of het probleem is gepatcht. Volgens onderzoeker Drake heeft Google zijn patches overgenomen, maar het is niet duidelijk of die in de meest recente Android-versie aanwezig zijn. Zeker is wel dat veel Android-toestellen niet zijn gepatcht: omdat fabrikanten software-updates voor Android meestal zelf nog aanpassen, kan het maanden duren voordat ze een patch krijgen, als de hardware überhaupt nog wordt ondersteund. Wel is sommige functionaliteit in Android ondergebracht in Play Services, waardoor die via de Play Store kan worden bijgewerkt.
Op dit moment wordt het probleem nog niet actief misbruikt, maar dat kan veranderen nu het bestaan van de bug aan het licht is gekomen. Volgende week, op de Black Hat-beveiligingsconferentie in Las Vegas, maakt Drake meer details over het beveiligingsprobleem bekend.
Tweakers.net