Onderzoekers hebben weer een beveiligingslek in de mediaserver van Android ontdekt, hetzelfde onderdeel waarin eerder verschillende andere kwetsbaarheden werden gevonden, waaronder het ernstige Stagefright-lek. Via de nieuwste kwetsbaarheid kan een aanvaller willekeurige code op het toestel uitvoeren met rechten van de mediaserver.
Zo kan een aanvaller foto's nemen, video's maken en eerder gemaakte video's bekijken. Het probleem is aanwezig in Android 2.3 tot en met 5.1.1, wat neerkomt op bijna alle Android-toestellen die in omloop zijn. Om via de kwetsbaarheid te worden aangevallen moet de gebruiker eerst een kwaadaardige app installeren. Deze app vereist geen enkele permissie, wat gebruikers een vals gevoel van veiligheid kan geven. Eenmaal actief kan een aanvaller willekeurige code uitvoeren met rechten van de mediaserver.
De mediaserver houdt zich bezig met allerlei media-gerelateerde taken, zoals het nemen van foto's, lezen van MP4-bestanden en het opnemen van video's. "Daardoor kan de privacy van gebruikers gevaar lopen", zo stelt Wish Wu van het Japanse anti-virusbedrijf Trend Micro dat de kwetsbaarheid ontdekte. De virusbestrijder waarschuwde Google op 19 juni, dat het lek als "high severity" bestempelde. Op 1 augustus publiceerde Google een patch voor het Android Open Source Project (AOSP), maar het is onduidelijk of de update al onder gebruikers en leveranciers is verspreid.
Deze posting is gelocked. Reageren is niet meer mogelijk.