Google heeft recentelijk een patch uitgebracht voor het ernstige Stagefright-lek, maar die blijkt niet voldoende te beschermen. Google zegt inmiddels aan een nieuwe patch te werken.
Het videolek Stagefright stelt hackers in staat om toegang te krijgen tot het systeem door gebruik te maken van een kwetsbaarheid in een videoframework van Android, dat door allerlei apps en diensten kan worden gebruikt. Tijdens het inlezen van de metadata van een video door het framework is het mogelijk voor een kwaadwillende om malafide code uit te voeren. Een kwaadwillende kan iemand waarvan hij het telefoonnummer weet een bericht sturen met een video waarin de malafide code is verstopt, waarna bijvoorbeeld malware wordt geïnstalleerd.
Tweede patch voor Stagefright
Volgens beveiligingsbedrijf Exodus beschermt de patch die door Google en andere fabrikanten wordt uitgerold onvoldoende tegen Stagefright. De beveiliging die de patch installeert kan toch worden omzeild, waarna opnieuw misbruik kan worden gemaakt van het lek. Tegenover The Verge meldt Google dat het werkt aan een tweede patch voor Stagefright. Deze is vanaf september beschikbaar voor zowel Nexus-toestellen als fabrikanten, die de patch weer naar smartphones en tablets uit kunnen rollen.
Het is onduidelijk hoe de meeste fabrikanten gaan reageren: wachten ze tot de tweede patch met het uitrollen van een update, of rollen ze beide patches uit? De verwachting is dat de meeste fabrikanten wachten totdat de goede patch beschikbaar is, maar dat kan dus nog enkele weken tot soms wel maanden duren.
→ Lees alles over de Android veiligheid en de gevonden lekken
