Stagefright 2.0
De ontdekker van de eerste Stagefright-lekken, Zimperium, heeft een tweetal nieuwe problemen ontdekt. Stagefright is het onderdeel van Android dat zorgt voor het afspelen van video’s en muziek. Bij ‘Stagefright 1.0’ was het mogelijk om kwaadaardige code uit te voeren met een speciaal opgesteld mms-bericht. Dat heeft er toe geleid dat veel berichten-apps de automatische verwerking van mms-berichten uitgeschakeld hebben en sommige providers hun gebruikers zelfs niet meer automatisch mms-berichten lieten ontvangen.
Het beveiligingsbedrijf heeft een tweetal nieuwe lekken in Android ontdekt die er samen voor zorgen dat er kwaadaardige apps geïnstalleerd kunnen worden zonder toestemming van de gebruiker. Zimperium noemt de lekken ‘Stagefright 2.0’. Het eerste lek is te vinden in een onderdeel van Android 1.0, de eerste commerciële versie van Android, en hoger. Door een tweede lek, een nieuw lek in Stagefright, wordt het ook mogelijk om het lek te misbruiken in Android 5.0 hoger.
Bescherming
Volgens Zimperium is er een speciaal aangepast MP3- of MP4-bestand nodig. Deze kunnen aanvallers bijvoorbeeld verspreiden via kwaadaardige advertenties of op onbeveiligde netwerken door tussen een smartphone en een WiFi-toegangspunt te gaan zitten. Ook zou de verspreiding via een kwaadaardige messenger-app gedaan kunnen gebeuren.
Momenteel is er geen bescherming tegen het lek, maar er zijn nog geen berichten over dat het lek momenteel actief misbruikt zou worden. Zimperium heeft zijn bevindingen op 15 augustus met Google gedeeld en Google zou onmiddellijk actie hebben ondernomen. Dat zou kunnen betekenen dat in de Google Play Store al gecontroleerd wordt op mogelijk misbruik.
Volgens Zimperium zal Google op 8 oktober zijn oplossing met zijn partners delen. Dat doet het bedrijf maandelijks en sinds vorige maand brengt Google aansluitend daarop ook beveiligingsupdates voor Nexus-toestellen uit. Verwacht wordt dat snel daarna ook andere bedrijven beveiligingsupdates uit zullen brengen. Mogelijk gebeurt dit zelfs al eerder: Zimperium verdient zijn geld onder andere met het delen van dit soort beveiligingsproblemen met fabrikanten. Inmiddels hebben in ieder geval Google, Samsung, Sony en HTC al updates beschikbaar gesteld voor een aantal toestellen om de eerste Stagefright-lekken te dichten.
Zimperium zal, wanneer Google een beveiligingsfix beschikbaar heeft gesteld, zijn Stagefright-detector-app updaten met de nieuwste twee lekken en zal voorlopig geen ‘proof-of-concept’ publiceren, waardoor kwaadwillenden niet zomaar met het lek bezig kunnen.
Reacties
Inloggen of registreren
om een reactie achter te laten
Wie stuurt er überhaupt nog MMS of heeft dat ooit gedaan ? gewoon uitzetten bij instellingen is voldoende
Telefoonbouwers beloven upd ates. Geloof je het zelf ?
Als je telefoon ouder dan een maand is kun je het schudden. Oplossing, zel!fs volgens de Consumentenbond, koop maar een nieuwe. Ik heb nog steeds de eerste Note en ik heb nergens last van. Pure bangmakerij om de verkoop maar te stimuleren.
Vraag me af of er überhaupt hier iemand is die last gehad heeft van het stagefright-lek.
De beveiligingsupdates van mn samsung galaxy s5 die ik binnenkrijg doen t niet. Iemand een idee wat ik eraan kan doen?