Als antwoord op het onlangs ontdekte beveiligingsprobleem binnen Android hebben Google, Samsung en LG bekend gemaakt dat zij maandelijkse beveiligingspatches uit gaan rollen. Daarnaast heeft ROM-bouwer Cyanogenmod, evenals de telefoonfabrikanten HTC, Sony en Motorola, gemeld dat zij voor dit specifieke probleem nog deze maand patches gaan uitbrengen.
Twee weken geleden ontdekte Joshua Drake een ernstig beveiligingsprobleem in Android, het mobiele besturingssysteem van Google. Het gaat om een aantal bugs in het videoframework van Android wat bekend staat onder de naam StageFright, een naam die de laatste dagen regelmatig opduikt in de media. Door fouten in dit framework is het mogelijk om, met behulp van een corrupt video-bestand, het geheugen van een Android-apparaat corrupt te maken.
Door dat te doen kan een proces toegang krijgen tot gevoelige informatie van de gebruiker, zoals de foto's, berichten en contacten die op het desbetreffende toestel staan. Op oudere Android-telefoons kan er zelfs, door gebruik te maken van andere bugs, root-toegang verkregen worden waarmee systeemgegevens aangepast kunnen worden.
Kort gezegd maken deze StageFright-bugs het mogelijk om door middel van een videoberichtje, bijvoorbeeld via MMS, een browser of Whatsapp, een Android-smartphone te infecteren met een virus of worm.
Op deze plaats stond content van een externe website, deze is verwijderd om ongewenste tracking-mogelijkheden te voorkomen.
Afgelopen woensdag zou Drake op de Black Hat-beveiligingsconferentie een exploit uit de doeken doen waarin het probleem wordt vastgesteld. Hiermee wil de onderzoeker van het beveiligingsbedrijf Zimperium bewustwording creëren. Echter hebben meerdere partijen, hem verzocht dit nog niet te doen, waarna Drake bekend maakte de exploit uiterlijk 24 augustus bekend te maken.
Tot deze datum lijken veel partijen er alles aan te doen om het lek te dichten. Zo heeft Google een update voor berichten-app Hangouts uitgebracht, waarin MMS-berichten met een video niet direct in het geheugen worden ingeladen. Provider T-Mobile heeft de mogelijkheid tot MMS'en uitgeschakeld op zijn netwerk; eventuele berichten zijn online te bekijken. ROM-bouwer Cyanogenmod heeft al een patch uitgebracht, en Google, HTC, Sony en Motorola zijn op dit moment smartphones aan het updaten. Een kanttekening hieraan is dat het enkel lijkt te gaan om de laatste topmodellen van HTC en Sony. Motorola wil alle Moto-toestellen van de afgelopen jaren van een update voorzien.
Bewustwording heeft Drake vooral weten te creëren bij Google, Samsung en LG. Zij hebben alle drie laten weten maandelijkse beveiligingsupdates uit te brengen voor hun smartphones. Het is nog niet duidelijk voor welke generaties dit precies geldt, maar waarschijnlijk zal dat in de komende weken bekend gaan worden. Volgens Google gaat het om 'honderden apparaten'.
Een screenshot van de StageFright-detector-app op een Samsung Galaxy S6 zonder de onlangs uitgebrachte patch.
Bronnen: ExtremeTech, ZDnet, Samsung, Motorola, Google
