Nieuwe manieren gevonden om groot Android-lek te misbruiken

Nieuwe manieren gevonden om groot Android-lek te misbruiken
Er zijn twee nieuwe manieren gevonden om het grote Android-lek Stagefright te misbruiken. Eén methode treft alle Android-versies, een tweede methode Android 5.0 en hoger.

Dat meldt beveiligingsbedrijf Zimperium, dat het Stagefright-lek in Android eind juli openbaar maakte.

Zimperium spreekt nu van Stagefright 2.0. Voor de eerste Stagefright-kwetsbaarheid die in juli werd onthuld heeft Google inmiddels een reparatie uitgerold naar zijn gebruikers en Android-fabrikanten.

De nieuwe kwetsbaarheid komt volgens Zimperium voor in vrijwel elk Android-apparaat dat sinds Android 1.0 in 2008 is uitgebracht. In toestellen met Android 5.0 en hoger is de bug middels een tweede kwetsbaarheid ook te misbruiken.

Audio- en videobestanden

Stagefright 2.0 maakt net als zijn voorganger misbruik van het videoplatform van Android. Bij de vorige lek kon de kwetsbaarheid misbruikt worden door het ontvangen van mp4-bestanden via onder meer MMS.

De nu aangetroffen kwetsbaarheden maken misbruik van de manier waarop de metadata van mp3- en mp4-bestanden wordt verwerkt. Dat maakt het in potentie mogelijk om kwetsbare toestellen aan te vallen middels muziek- en videobestanden via bijvoorbeeld websites.

Het inladen van de muziek- en videobestanden zou al genoeg zijn om misbruik van de kwetsbaarheid mogelijk te maken. Door het bezoeken van een malafide site zouden gebruikers al geïnfecteerd kunnen worden.

Oplossing

Ook is het met deze kwetsbaarheid mogelijk gebruikers te infecteren die van hetzelfde onbeveiligde wifi-netwerk gebruik maken. Daarnaast lopen gebruikers van apps als mediaspelers en berichten-apps die het videoplatform gebruiken gevaar.

Google is door Zimperium op de hoogte gesteld van de eerste bug die ‘vrijwel elk Android-apparaat zou treffen’, en die wordt vanaf volgende week gerepareerd. De tweede bug die de eerste kwetsbaarheid bij toestellen met Android 5.0 en hoger mogelijk maakt wordt vooralsnog niet door Google erkend.

Verdere details rond de kwetsbaarheid worden door Zimperium pas vrijgegeven als Google oplossingen voor de bugs heeft vrijgegeven. Pas dan kunnen Android-gebruikers met bestaande Stagefright-controle-apps hun apparaten op kwetsbaarheid controleren.