Het ernstige lek in Android, dat maandag door verschillende beveiligingsonderzoekers is bekendgemaakt, wordt volgende week door Google gepatcht. Het is dan wachten tot fabrikanten de patch doorvoeren.
Lees verder na de advertentie.
Dat maakt Google bekend. De patch komt volgende week beschikbaar voor alle Nexus-toestellen, waarmee de apparaten een update krijgen die zij kunnen installeren. Hierna zijn zij beschermd tegen het videolek in Android. Fabrikanten moeten de patch eigenhandig uitrollen naar toestellen. Dit proces wordt een stuk lastiger dan Google, omdat de fabrikant voor elk toestel een update moet uitrollen. Het is aannemelijk dat alleen de populairste en meest recente smartphones en tablets van de update worden voorzien, maar wanneer dit gebeurt is vooralsnog onbekend.
Dit is het videolek in Android
Het lek stelt hackers in staat om toegang te krijgen tot het systeem door gebruik te maken van een lek in een videoframework van Android, dat door allerlei apps en diensten kan worden gebruikt. Tijdens het inlezen van de metadata van een 3gpp- of mpeg4-video door het framework is het mogelijk voor een kwaadwillende om malafide code uit te voeren. 3gpp wordt voornamelijk voor mms gebruikt, maar kan ook via andere apps worden verstuurd, mpeg4 is een meer algemeen videoformaat.
Malafide code wordt in een video verstopt
Een kwaadwillende kan iemand waarvan hij het telefoonnummer weet een bericht sturen met een video waarin de malafide code is verstopt. De code kan vervolgens misbruik maken van het lek, zelfs als de ontvanger het desbetreffende bericht niet heeft gelezen. Hangouts verwerkt video`s namelijk automatisch, waarna ze in de galerij worden bewaard en de malware vrije toegang tot het systeem heeft. Gebruik je niet Google Hangouts (bijvoorbeeld als primaire sms-app), maar de standaardapplicatie, dan loop je iets minder gevaar.
