Android-lek stagefright is op nog twee manieren te misbruiken

Het beveiligingsbedrijf Zimperium heeft bekendgemaakt dat hoewel Google het stagefright-lek inmiddels twee keer heeft gedicht er nog steeds twee methodes zijn om misbruik te maken van stagefright. Een methode treft alle Android-versies terwijl een tweede methode alleen werkt op Android 5.0 en hoger.

Stagefright is een groot beveiligingslek in de manier waarop Android om gaat met video’s. Door misbruik te maken van dit lek kan een kwaadwillende zichzelf toegang verschaffen tot een Android-toestel. In augustus kwam stagefright voor het eerst aan het licht en sindsdien heeft Google al twee patches uitgebracht om stagefright te dichten. Nu heeft beveiligingsbedrijf Zimperium opnieuw twee manieren gevonden om misbruik te maken van Stagefright.

Zimperium spreekt van stagefright 2.0, waar het bij de eerste versie mogelijk was om met gemodificeerde mp4-bestanden een Android-apparaat aan te vallen is dat nu mogelijk via de metadata van mp3- en mp4-bestanden. Hierdoor gaat het niet langer alleen om video maar ook om muziekbestanden. Door deze bijvoorbeeld via MMS of Google Hangouts te versturen kan een systeem worden geïnfecteerd.

Het enige wat nodig is om het systeem te infecteren is het inladen van een dergelijk bestand. Dit kan gebeuren door malafide-websites maar ook door andere apps op een toestel. Zimperium heeft inmiddels contact gezocht met Google om de bevindingen te delen met het bedrijf. Volgens week zal Google patches gaan uitrollen om het lek opnieuw te dichten. Google erkent het tweede lek in Android 5.0 en hoger nog niet, mogelijk moet Zimperium het bedrijf hiervan nog overtuigen of meer bewijs aanleveren.

De exacte details van de lekken blijft vooralsnog geheim, Google krijgt eerst de tijd de lekken te dichten.