Androids in 15 seconden te hacken door Stagefright-bug

Beveiligingsonderzoekers van het Israëlische Northbit zijn erin geslaagd om de Stagefright-bug uit te buiten om op afstand Android-toestellen te hacken. Northbit heeft de exploit genaamd Metaphor uitgevoerd op verscheidene toestellen zoals de Google Nexus 5, LG G3, HTC One en Samsung Galaxy S5.

Voor de exploit is gebruikgemaakt van de Stagefright-bug in Android, waarover medio 2015 voor het eerst werd gepubliceerd. Stagefright was bij de ontdekking op ongeveer 95 procent van alle Android-apparaten aanwezig, namelijk in Android 2.2, 4.0, 5.0 en 5.1. Het bezoeken van een malafide website is voldoende om de Metaphor uit te buiten. NorthBit heeft een paper over de ontwikkeling van Metaphor gepubliceerd.

De onderzoekers slaagden erin om Androids address space layout randomization (ASLR) te omzeilen. ASLR is bedoeld om aanvallen via een buffer-overflow tegen te gaan. Als de ASLR-beveiliging eenmaal beslecht is, wordt het mogelijk om via de browser informatie vanaf de telefoon te versturen.

De hack vindt plaats door de mediaserver van een Android-apparaat te laten crashen met behulp van een automatisch afspelende video, om vervolgens een stuk JavaScript-code te laten draaien wanneer de mediaserver weer herstart is. Met behulp van de code wordt informatie naar een externe server verzonden, welke een video genereert om Stagefright te misbruiken om meer informatie over het toestel te verkrijgen.

Aan de hand van die informatie wordt een tweede met malware geïnfecteerde video gegenereerd. Deze malware wordt vervolgens uitgevoerd door het Android-apparaat. Deze malware wordt gedraaid met alle rechten die nodig zijn om een gebruiker te kunnen bespioneren.

Zuk Avraham van beveiligingsbedrijf Zimperium geeft aan dat het hem zou verbazen als Metaphor niet al door verscheidene professionele groepen van hackers misbruikt wordt. Google heeft een patch voor de bug vrijgegeven, maar fabrikanten en telecomproviders moeten deze zelf verspreiden.