Zimperium, een bedrijf dat zich richt op mobiele veiligheid, heeft het bestaan van twee nieuwe bugs in Android bekendgemaakt. Volgens het bedrijf gaat het om een soort Stagefright 2.0.
Een tijdje terug werd er op veel websites aandacht besteed aan de Stagefright-bug in Android. De bug kon kwaadwillenden via het video-systeem toegang geven tot de smartphone. Een aantal fabrikanten hebben relatief snel updates uitgebracht voor een aantal smartphones, maar het overgrote merendeel van de Android-smartphones is nog altijd kwetsbaar. Nu wordt het probleem echter nog wat groter want er zijn nog twee bugs bekendgemaakt.
De bugs zitten in het systeem dat MP3-audio en MP4-video verwerkt en na het misbruiken van het lek kunnen kwaadwillenden kwaadaardige code uitvoeren op een smartphone. Kwaadwillenden kunnen de code ook uitvoeren wanneer ze op hetzelfde wifi-netwerk zitten. Door niet-versleuteld netwerkverkeer te onderscheppen kan de code geïnjecteerd worden. Dit is wat Zimperium over de twee nieuwe bugs zegt:
“Ontmoet Stagefright 2.0, een set van twee kwetsbaarheden die misbruikt kunnen worden door speciale MP3-audio-, of MP4-video-bestanden te verwerken. De eerste kwetsbaarheid is te vinden in bijna alle Android-apparaten sinds versie 1.0 uitgebracht is in 2008. We hebben methodes gevonden om die kwetsbaarheid te misbruiken in Android 5.0 door een tweede kwetsbaarheid te gebruiken.”
Google is al op de hoogte van de twee bugs en werk er aan. Vervolgens moet het echter ook weer uitgebracht worden voor de honderden Android-smartphones die in de omloop zijn en kijkende naar de vorige Stagefright-bug hebben we zo’n vermoeden dat dat niet zo vlot zal gaan. Een paar high-end smartphones zullen een update ontvangen maar verreweg het merendeel van de Android-smartphones blijft waarschijnlijk kwetsbaar.
Tags: Android, Android bug, Android lek, Stagefright, Stagefright 2.0, Zimperium