Nieuws
image

Ernstig Android-lek ook via apps en websites aan te vallen

zaterdag 1 augustus 2015, 09:20 door Redactie, 12 reacties

Deze week werd bekend dat er een zeer ernstig lek in Android aanwezig is dat een aanvaller op miljoenen Android-telefoons malware laat installeren door alleen een enkel mms-bericht te versturen. Stagefright, zoals de kwetsbaarheid wordt genoemd, is echter ook op andere manieren aan te vallen, aldus het Japanse anti-virusbedrijf Trend Micro.

Beveiligingsbedrijf Zimperium maakte Stagefright deze week bekend. Trend Micro stelt dat het dezelfde kwetsbaarheid onafhankelijk van Zimperium ook heeft gevonden en op 19 mei van dit jaar aan Google heeft gemeld. Dat houdt in dat tenminste twee partijen een kritiek lek van deze omvang hebben ontdekt en dit vervolgens aan Google besloten te rapporteren.

Aanvalsvectoren

Trend Micro stelt echter dat er meer manieren zijn om van Stagefright gebruik te maken. Naast het versturen van een mms-bericht kan een aanvaller ook een app gebruiken om de kwetsbaarheid aan te vallen, alsmede het gebruik van een website. Het beveiligingslek wordt veroorzaakt door de manier waarop de Android-mediaserver met MP4-bestanden omgaat. Hierdoor kan een aanvaller een heap overflow veroorzaken en vervolgens willekeurige code uitvoeren, zoals het installeren van malware.

Naast het versturen van een kwaadaardig MP4-bestand via een mms-bericht, is het ook mogelijk om een dergelijk bestand in een website te embedden of door een app te laten openen, en zo een Android-telefoon met malware te infecteren. Google heeft inmiddels een update uitgerold, maar veel Android-gebruikers zijn voor patches afhankelijk van hun telecomaanbieder of fabrikant van het toestel, als het apparaat nog wordt ondersteund. Volgens Trend Micro speelt het probleem in Android-versie 4.0.1 tot en met 5.1.1, wat neerkomt op 94% van alle Android-apparaten.

Reacties (12)
01-08-2015, 09:33 door Anoniem
Dus 80% daarvan kan een nieuwe telefoon gaan kopen, zo lijkt het. En bedankt (nee, hier geen android :) )
01-08-2015, 09:34 door Anoniem
Zijn er al meldingen van daadwerkelijk gebruik van deze kwetsbaarheid? (is het 'in the wild')
01-08-2015, 11:05 door johanw
Door Anoniem: Dus 80% daarvan kan een nieuwe telefoon gaan kopen, zo lijkt het.
Nee hoor, gewoon geen sms/mms client nemen die media automatisch afspeelt. SMSSecure bijvoorbeeld. En eerst eens afwachten wat de exacte details zijn.
En bedankt (nee, hier geen android :) )
Ik dacht al, waar blijven de windows phone fanboys. Totdat dat systeem definitief opgegeven wordt zullen we die lui moeten tolereren vrees ik.
01-08-2015, 12:59 door Anoniem
Nou zo te lezen moet ik de volgende keer een Iphone maar nemen ..
01-08-2015, 13:43 door Anoniem
Het is vreemd dat de updates door de telefoonfabrikanten en de mobiele providers moeten worden verstrekt,degene die dat moet doen is de ontwerper van het OS Android en dat is Google! Bij Windows computers en phones is het toch ook niet de pc/smartphonefabrikant die de updates verzorgt? Stel je voor dat Dell,Acer,Asus,Lenovo,HP,Toshiba de windows update zouden moeten gaan uitvoeren. Er zijn nu Androidsmartphone-fabrikanten zoals Archos (verkrijgbaar bij o.a. Kruidvat) die vrijwel geen of nauwelijks updates en upgrades verstrekken,maar naar ik heb gelezen zijn ook de bekende grote merken als Samsung en Sony daar erg zuinig mee.Als zoveel gebruikers hierdoor worden getroffen dan zal Google toch wel iets moeten gaan doen en iets gaan veranderen,zoals gewoon de updates zelf voor zn rekening nemen.Zo niet,dan ligt er hier toch een taak voor de nationale overheden in de VS,maar ook elders,ook hier in Europa en de EU om maatregelen te nemen om patches af te dwingen,zij het bij de fabrikanten,zij het bij Google.
01-08-2015, 13:49 door Anoniem
Door Anoniem: Dus 80% daarvan kan een nieuwe telefoon gaan kopen, zo lijkt het. En bedankt (nee, hier geen android :) )
Inderdaad, het lijkt me dat Android voorlopig uit de gratie zal zijn bij de smartphone-consumenten. Misschien dat Windows Phone daarvan kan profiteren en wellicht zelfs Blackberry. Ik heb gekeken voor Linux smartphones,die schijnen wel gemaakt te worden ,maar die zijn nog niet bij fysieke en zelfs bekende Nederlandse webwinkels verkrijgbaar,ik heb gekeken bij o.m. Mediamarkt,www.Typhone.nl,T-Mobile,Wehkamp,maar geen Linux telefoons.
01-08-2015, 15:50 door karma4
Door johanw:
En bedankt (nee, hier geen android :) )
Ik dacht al, waar blijven de windows phone fanboys. Totdat dat systeem definitief opgegeven wordt zullen we die lui moeten tolereren vrees ik.
apple iphone? Dat is de flame die gangbaar is.
01-08-2015, 16:21 door atoom
[Verwijderd]
01-08-2015, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: Dus 80% daarvan kan een nieuwe telefoon gaan kopen, zo lijkt het. En bedankt (nee, hier geen android :) )
Inderdaad, het lijkt me dat Android voorlopig uit de gratie zal zijn bij de smartphone-consumenten. Misschien dat Windows Phone daarvan kan profiteren en wellicht zelfs Blackberry. Ik heb gekeken voor Linux smartphones,die schijnen wel gemaakt te worden ,maar die zijn nog niet bij fysieke en zelfs bekende Nederlandse webwinkels verkrijgbaar,ik heb gekeken bij o.m. Mediamarkt,www.Typhone.nl,T-Mobile,Wehkamp,maar geen Linux telefoons.

Onzin... Tot nader bericht is dit probleem niet 'in the wild' en heb je er in de praktijk geen last van.

(ingetikt vanaf mijn Android telefoon)
02-08-2015, 08:24 door [Account Verwijderd] - Bijgewerkt: 02-08-2015, 08:27
[Verwijderd]
02-08-2015, 10:20 door Anoniem
Door Anak Krakatau: we kunnen wel hier en daar doen dat er niets aan de hand is (zelf heb ik ook android), maar feit blijft dat deze toestellen helemaal niet worden ondersteund, althans na het installeren van de eerste updates en firmware-updates vlak na de aankoop.

daarna doet men bij google en consorten helemaal niets meer voor je (zo is mijn ervaring tot nu toe).

Toegegeven dat is inderdaad een heel vervelende zaak! (En gaat er mogelijk toe leiden dat ik mijn nieuwe telefoon toch weer ga rooten met een AOSP rom).

Maar ik denk dat fabrikanten bij daadwerkelijk in the wild misbruik er niet aan zullen ontkomen om met updates te komen. Mits de telefoon niet te oud is natuurlijk :-(
02-08-2015, 11:14 door CeesJan
Oeps, das vervelend. Terug naar fabriek instelling en stop met direct afspelen van mp4 kost je alleen veel geld. Het maakt niet uit welk os je hebt ondersteuning komt toch nooit verder dan terug naar fabriek instelling. Apple is vaak genoeg gehackt, blackberry geen idee of dat speelgoed het nog doet, Windows kan je nu elke app op alle hardware draaien lekker makkelijk voor de virusschrijvers scheelt een hoop tijd. android, ja nog steeds alle apps in java wat ook meestal het probleem is, ook daar alternatieven zat. KEUZES KEUZES KEUZES vroeger nooit problemen toen ik een nummer nog echt kon draaien. vandaag willen de telefoonbedrijven alleen maar nieuwe klanten, blijvers zijn losers. Nelie K. bedankt voor de privatisering en het totaal verkloten van al die markten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure