Eind juli werd bekend dat er opnieuw een groot lek was gevonden in Android, de zogenaamde stagefright-lek. Google kondigde ook direct aan een patch beschikbaar te hebben voor het kritieke lek en dat de meeste fabrikanten deze zouden dichten in de maand augustus. Nu is echter duidelijk geworden dat Google’s patch te kort schiet en de nieuwe beveiliging is te omzeilen.
Stagefright is een kritiek lek in de manier waarop Android video’s afspeelt. Het lek is eenvoudig te misbruiken door de gebruiker een malafide sms of Hangouts-bericht te sturen. De patch die Google heeft verspreid aan alle fabrikanten is niet voldoende om het lek te dichten. Beveiligingsbedrijf Exodus stelt dat Google vier regels code heeft toegevoegd aan Android om het lek te dichten via een nieuwe beveiliging, maar deze beveiliging is eenvoudig te omzeilen. Google heeft het lek dus niet afdoende gedicht.
Google heeft inmiddels gereageerd op de berichtgeving van Exodus dat de problemen met de patch bekend zijn bij het bedrijf en dat er al een tweede patch is aangeleverd bij de fabrikanten. Het lek zal dus nog steeds binnenkort worden gedicht maar niet zo snel als Google in eerste instantie had aangegeven. De fabrikanten hebben de tweede patch recent ontvangen en het is nog maar de vraag of ze allemaal een patch kunnen verspreiden binnen twee weken.
Het lek zit in alle Android-versies vanaf 2.2, dat zijn bijna een miljard-toestellen die gevoelig zijn voor stagefright. Google verwacht dat hooguit de helft van de toestellen gepatched zal worden. De rest zal het zonder patch moeten stellen. Google heeft inmiddels aangekondigd elke maand patches te gaan uitbrengen voor Android om het imago en de veiligheid van het besturingssysteem te verbeteren. LG en Samsung hebben aangegeven Google’s voorbeeld te gaan volgen met maandelijkse updates.
5 uur geleden
