Beveiligingsbedrijf: ‘nog steeds slecht gesteld met Stagefright-lek’

Stagefright

Het grote Stagefright-lek werd vorig jaar breed uitgemeten in de media, want via dit lek kunnen kwaadwillenden op afstand inbreken op een Android-toestel. Stagefright is de naam van het multimediaframework van Android en wordt gebruikt om verschillende videoformaten af te spelen. Dit op afstand inbreken is onder andere mogelijk door een speciaal geprepareerd mms-bericht te sturen en als de ontvanger deze opent kan er al volledig toegang tot het toestel worden verkregen. Ook via speciale websites was het mogelijk om toegang te krijgen tot toestellen. Veel toestellen downloaden automatisch de inhoud van zo’n mms-bericht en je kunt dit al handmatig uitzetten, zodat je minder vatbaar bent voor dit lek.

850 miljoen

Beveiligingsbedrijf Zimperium bracht toentertijd het lek naar buiten en sindsdien zijn er voor vele toestellen updates uitgebracht om deze Stagefright-lekken te patchen. De gevolgen van het lek zijn vooral het grootst op devices die draaien op Android 4.0 of lager, maar voor die toestellen worden niet altijd meer updates voor de beveiliging ervan uitgebracht.

Nu meldt die instantie dat er nog steeds tussen de 600 en 850 miljoen Android-toestellen zijn die kwetsbaar zijn voor dit lek. Er worden door Google regelmatig software-updates uitgerold en via de Google Play Service-app ontvangt zo 90% van de apparaten de benodigde patches aldus Zimperium. Om toestellen te voorzien van de benodigde updates voor een bug als Stagefright moet de software eerst door verschillende fabrikanten en dan ook nog eens providers worden uitgetest en goedgekeurd en daar wringt de schoen. Het is algemeen bekend dat Android en de uitrol van nieuwe versies erg gefragmenteerd plaatsvindt.

Daarbij noemt Zimperium ook dat het qua versienummers niet logisch is dat bepaalde beveiligingslekken die in eerdere versies zijn opgelost wel weer opduiken in nieuwere Android-versies. Dat gebeurde bijvoorbeeld bij de update van verschillende Motorola-apparaten van Android 5.0 naar 5.1 en bij verschillende Samsung-apparaten bij de update van Android 4.4 naar Android 5.0. Hetzelfde geldt voor een aantal updates bij andere grote fabrikanten, zoals Huawei, Sony en LG.

Zo noemt het bedrijf dat Android 5.1.1. kwetsbaarder is dan Android 5.0 en dat Android 5.0.2 meer kwetsbaar is dan Android 4.4.4. Het beveiligingsbedrijf laat ook weten dat sommige landen veiliger zijn, waarbij in sommige landen meer dan 70% van de devices nog steeds kwetsbaar is. 

Perspectief

Ondanks dat er veel toestellen in theorie nog kwetsbaar zijn, is het risico op veel toestellen al wel beperkt. Providers hebben bijvoorbeeld het automatisch downloaden van mms-bestanden uitgeschakeld. Daarnaast heeft Samsung bijvoorbeeld de mogelijkheid om via beveiligingsdefinities die zonder update gedownload kunnen worden aanvallen te blokkeren.

Het is op veel toestellen nog wel mogelijk om via een link in de browser misbruik te maken van het lek. Steeds meer kwaadaardige pagina’s worden door bijvoorbeeld Google en andere browser-makers al automatisch geblokkeerd, wat misbruik maken van de lekken lastiger maakt.

Verder zijn de afgelopen tijd meer (beveiligings)updates uitgerold dan ooit tevoren en lijkt Stagefright een positieve invloed te hebben gehad op updates en vooral de updatestrategie van bedrijven als het gaat om vlaggenschepen. Daarmee zijn we er echter nog lang niet: zo is het wenselijk dat er betere communicatie komt vanuit Google over in hoeverre Android-versies en toestellen kwetsbaar zijn en van de fabrikanten worden snellere en betere updates gewenst.

Bron: Zimperium