Op een Chinees forum is informatie verschenen over hoe een zeer ernstig lek in Android kan worden gebruikt om miljoenen Android-telefoons via alleen een enkel mms-bericht aan te vallen, hoewel de kwetsbaarheid ook via apps en websites is uit te buiten. Dat meldt beveiligingsbedrijf Zimperium.
Zimperium ontdekte de kwetsbaarheid, die de naam Stagefright kreeg. Later bleek dat ook anti-virusbedrijf Trend Micro hetzelfde beveiligingslek onafhankelijk had ontdekt. Volgens Zimperium treft het probleem 950 miljoen Android-toestellen. Naar schatting zou in 50% van de kwetsbare toestellen de aanval zonder enige interactie van gebruikers zijn uit te voeren. In de andere gevallen is het openen van een mms-bericht voldoende.
Via de aanval kan een aanvaller willekeurige code met media- of systeemrechten op het toestel uitvoeren. Zo kan een aanvaller volledige controle over de camera en microfoon krijgen, bijvoorbeeld om gebruikers af te luisteren. Op sommige toestellen draait de kwetsbare software die via het mms-bericht wordt aangevallen met systeemrechten. In dit geval heeft een aanvaller verhoogde rechten en kan bijna alles op het toestel doen dat de gebruiker kan. Zimperium stelt dat dit echter op "sommige" toestellen is. Een aanvaller die willekeurige code op een toestel kan uitvoeren, ook al is het met media-rechten, kan vervolgens echter proberen om zijn rechten te verhogen.
Oorspronkelijk zou het beveiligingsbedrijf tijdens de Black Hat conferentie in Las Vegas deze week een exploit publiceren. Verschillende organisaties vroegen Zimperium om hiermee te wachten. Iets waar het bedrijf mee akkoord is gegaan. De beveiligingsupdates voor Android zijn echter open source. Daardoor werken inmiddels veel onderzoekers aan een exploit om de kwetsbaarheid aan te kunnen vallen, zo meldt het bedrijf. "We denken daarom dat het slechts een kwestie van tijd is voordat we aanvallen in het wild zien, ervan uitgaande dat ze al niet plaatsvinden", zo liet beveiligingsonderzoeker Zuk Avraham van Zimperium afgelopen zaterdag weten. Vanochtend waarschuwde het bedrijf via Twitter dat een exploit nu bijna openbaar is
Het probleem is dat veel Android-gebruikers voor updates van hun telecomaanbieder of de fabrikant van het toestel afhankelijk zijn, in plaats van Google. Daardoor kan het vrij lang duren voordat updates uiteindelijk worden aangeboden, als het toestel nog wordt ondersteund. Verschillende oudere Android-modellen die ook kwetsbaar zijn en niet meer worden ondersteund missen een belangrijke beveiligingsmaatregel. Daardoor is de impact op deze toestellen veel groter.
Het zou in totaal om 60 miljoen toestellen gaan. Volgens Avraham kan een aanvaller hierdoor een netwerkworm creëren om mms-berichten te versturen. Bij elkaar zouden de toestellen, na te zijn geïnfecteerd, 6 miljard mms-berichten per dag kunnen versturen. Iets dat ook gevolgen voor het netwerk van telecomaanbieders kan hebben.
Gebruikers die zich willen beschermen krijgen van Zimperium het advies om het toestel up-to-date te houden. In het geval het toestel niet meer wordt ondersteund kunnen gebruikers op een besturingssysteem zoals CyanogenMod overstappen, dat oudere toestellen langer ondersteunt. Een andere maatregel die genomen kan worden is het uitschakelen van het automatisch ophalen van mms-berichten.
Deze posting is gelocked. Reageren is niet meer mogelijk.