Broncode van Stagefright-exploit in Android gepubliceerd

Slecht nieuws voor Google vandaag, de tijd is op, de tijd die het bedrijf heeft gekregen van beveiligingsbedrijf Zimperium om de Stagefright-exploit te dichten in de video-engine van Android. Vandaag heeft het bedrijf namelijk de broncode gepubliceerd en nu kunnen kwaadwillende er massaal misbruik van gaan maken.

Beveiligingsonderzoeker Joshua Drake van Zimperium heeft op de blog een voorbeeldcode geplaatst waarmee de stagefright-exploit is te misbruiken. In de code is een zogenaamd stsc-lek blootgelegd, volgens Drake is dit echter pas één van de kwetsbaarheden in Stagefright. Het is echter wel een van de meest kritieke kwetsbaarheden. Nu de broncode is vrijgegeven kan een kwaadwillende die een beetje handig is en programmeerkennis heeft een exploit bouwen die misbruik maakt van de Stagefright-exploit.

Of er op dit moment al misbruik gemaakt wordt van de Stagefright-exploit is onduidelijk. Wat wel duidelijk is, is dat het een groot gapend gat is in Android en dat Google druk bezig is om dat gat te dichten. Alle fabrikanten hebben inmiddels de nodige patches ontvangen die ze zo snel mogelijk moeten uitrollen naar hun toestellen. Vrijwel alle fabrikanten zijn inmiddels al begonnen met het uitrollen van de patch en veel toestellen zijn dan ook niet meer gevoelig voor Stagefright.

Het probleem is alleen dat het Android-ecosysteem zo groot is dat waarschijnlijk zo’n 50 procent nooit een patch gaat ontvangen en gevoelig blijft voor de Stagefright-exploit. Het enige lichtpuntje wat Google nog heeft is dat een generieke exploit voor Stagerfright niet op alle toestellen werkt, maar dat er per toestel soms wat aanpassingen nodig zijn. Hierdoor is het lastiger om één generieke exploit te bouwen die alle toestellen kan infecteren.

Toestellen die gevoelig zijn voor het Stagefright-lek kunnen eenvoudig worden gehackt door een sms-bericht of Hangout-bericht te sturen met daaraan toegevoegd een geprepareerd videobestand. Eigenlijk zou de broncode al begin augustus vrijgegeven worden tijdens de Black Hat-conferentie in Las Vegas, maar het beveiligingsbedrijf besloot Google meer tijd te gunnen het lek te dichten.