Opnieuw ernstig lek in Android dat veel fabrikanten niet gaan dichten

Abonneer je gratis op Techzine!

Opnieuw heeft Android te kampen met een zeer ernstig beveiligingslek, met een simpel sms- of hangouts-bericht kan een Android-smartphone volledig worden overgenomen door een kwaadwillende. Het lek zit in de manier hoe Android omgaat met video’s en is dus eenvoudig te misbruiken.

Beveiligingsbedrijf Zimperium heeft het lek gevonden en heeft in april van dit jaar Google op de hoogte gesteld. Google heeft inmiddels een patch ontwikkeld voor het beveiligingslek en deze beschikbaar gesteld aan alle fabrikanten, de fabrikanten moeten nu op hun beurt een update voor al hun Android-toestellen gaan uitrollen. Of dat echter ook gaat gebeuren is nog maar de vraag, Zimperium verwacht dat minimaal 20 en maximaal 50 procent van de toestellen die nu in de omloop zijn een patch zullen ontvangen.

Volgens Zimperium wordt het lek nog niet actief misbruikt, maar tijden de Black Hat-conferentie die begin augustus wordt gehouden zal het beveiligingsbedrijf het lek presenteren en laten zien dat een toestel eenvoudig op afstand is te hacken. Dat kan op twee manieren via een sms-bericht dat is voorzien van bepaalde code, als de gebruiker het sms-bericht opent kan een kwaadwillende toegang verschaffen tot het toestel, maar het kan ook via een Hangouts-bericht en dan hoeft het bericht niet geopend te worden, maar is het toestel direct over te nemen als het bericht wordt afgeleverd, aldus Zimperium.

Het lek zit in de manier hoe Android omgaat met videobestanden, daarin heeft Zimperium een groot lek gevonden. Google moet nu zijn partners zien te motiveren om voor alle toestellen die in de omloop zijn patches uit te brengen. Uit ervaring weten we dat vaak alleen de vlaggenschepen van dit jaar en het jaar ervoor een patch krijgen en veel andere toestellen het zonder patches moeten stellen.

Google heeft bevestigd dat waarschijnlijk maar de helft van alle Android-toestellen voorzien zal worden van een patch en de andere helft het zonder moet stellen. Het bedrijf wilde daar verder niet over geïnterviewd worden. Google weet ook dat dit soort beveiligingsproblemen niet goed zijn voor het imago van Android en het bedrijf dit in de toekomst beter moet zien te regelen. Tot op heden heeft Google nog geen oplossing voor grote beveiligingslekken.