Beveiligingsbedrijf Zimperium heeft een ernstig lek in Android aangetroffen dat kwaadwillenden in staat stelt om een telefoon over te nemen door het sturen van een sms. Hiervoor is alleen het telefoonnummer van het doelwit nodig.
Lees verder na de advertentie.
Update: Google rolt in week 32 patch voor ernstig lek uit
Dit houdt het Android-lek in
Het Android-lek stelt hackers in staat om toegang te krijgen tot het systeem door gebruik te maken van een lek in een videoframework van Android, dat door allerlei apps en diensten kan worden gebruikt. Tijdens het inlezen van de metadata van een 3gpp- of mpeg4-video (algemeen videoformaat) door het framework is het mogelijk voor een kwaadwillende om malafide code uit te voeren. 3gpp wordt voornamelijk voor mms gebruikt, maar kan ook via andere apps worden verstuurd, mpeg4 is een meer algemeen videoformaat.
Malafide code wordt in een video verstopt
Een kwaadwillende kan iemand waarvan hij het telefoonnummer weet een bericht sturen met een video waarin de malafide code is verstopt. De code kan vervolgens misbruik maken van het lek, zelfs als de ontvanger het desbetreffende bericht niet heeft gelezen. Hangouts verwerkt video’s namelijk automatisch, waarna ze in de galerij worden bewaard en de malware vrije toegang tot het systeem heeft.
Gebruik je niet Google Hangouts (bijvoorbeeld als primaire sms-app), maar de standaardapplicatie, dan loop je iets minder gevaar, aldus Zimperium. Je moet dan eerst het malafide bericht lezen, alvorens je telefoon wordt overgenomen. Het is echter niet zo dat je een aparte bijlage moet downloaden of op een link moet klikken; het lezen van de sms is voldoende om hackers toegang te geven tot al je data, de microfoon en camera.
Bijna alle Android-telefoons zijn kwetsbaar
Volgens Zimperium is elke Android-smartphone die momenteel wordt gebruikt kwetsbaar, al zou er nog geen misbruik van het lek worden gemaakt. Het beveiligingsbedrijf heeft zijn bevindingen en patches met Google gedeeld en ze uitgerold naar andere fabrikanten van Android-smartphones, maar het is onduidelijk of die het Android-lek al hebben gedicht.
Mogelijk kan dit nog lang duren en veel oudere Android-toestellen ontvangen sowieso geen updates meer, waardoor ze kwetsbaar blijven voor nieuwe lekken die in het systeem worden gevonden. Zimperium schat dat maximaal tussen de 20 en 50 procent van alle toestellen wordt gepatcht. Begin augustus zal het bedrijf verdere details bekendmaken tijdens de beveiligingsconferentie Black Hat.
De meeste Android-toestellen worden niet gepatcht
Overigens ontdekten onderzoekers van de Vrije Universiteit van Amsterdam eind vorige maand ook al een Android-lek. Dit had te maken met het feit dat gebruikers voor verschillende apparaten hetzelfde Google-account gebruiken. “Het probleem wordt veroorzaakt doordat Google zoveel mogelijk diensten onder Ă©Ă©n gebruikersnaam samenbrengt en toestaat dat apps via iemands browser op een telefoon gezet kunnen worden. Deze integratie van diensten is prettig voor gebruikers, maar heeft een keerzijde”, aldus de onderzoekers. Google zou al maanden van het lek afweten, maar nog niets hebben gedaan.
Reactie Google
Google heeft inmiddels op het lek gereageerd: “We bedanken Joshue Drake voor zijn toevoegingen. De beveiliging van Android is extreem belangrijk voor ons en we hebben inmiddels patches uitgebracht waarvan partners gebruik kunnen maken.”
“De meeste Android-toestellen, waaronder alle nieuwe apparaten, hebben verschillende technologieĂ«n die zijn ontwikkeld om misbruik van dergelijke lekken moeilijker te maken. Daarnaast beschikken Android-toestellen over een speciale applicatie-sandbox die is gemaakt om de data van gebruikers en andere apps te beschermen.”
