Nieuws/Tech

Gaten in patch voor MMS-lek Android

De veiligheidsupdate die er voor moet zorgen dat geïnfecteerde MMS-berichten geen schade meer toebrengen aan Android-smartphones lijkt niet helemaal waterdicht. Onderzoekers zijn er ingeslaagd een toestel dat voorzien was van de patch toch te laten crashen door een geïnfecteerd videobestand te versturen via MMS.

MMS is een multimediaal sms-bericht dat video, geluid en foto’s kan bevatten. Het Stagefright multimediaframework van Android haalt deze content automatisch binnen zonder dat de gebruiker hier toestemming voor hoeft te geven. Door op deze manier een geïnfecteerd bestand te sturen kunnen kwaadwillenden de controle over een toestel overnemen. Fysieke toegang tot het toestel is niet nodig, het telefoonnummer van het slachtoffer voldoet.

Het Stagefright-lek werd vorige maand bekendgemaakt, maar Google was al ruim 4 maanden daarvoor op de hoogte gebracht. Het bedrijf had dus ruim de tijd voor de patch, maar volgens de onderzoekers voldoet deze niet. Veiligheidsbedrijf Exodus Intelligence meent dat de patch een vals gevoel van veiligheid geeft, omdat het mogelijk is de oplossing te omzeilen.

Veel veiligheidsonderzoekers twijfelden al eerder of met de patch het probleem voor alle toestellen was opgelost. Veel fabrikanten updaten oude toestellen namelijk niet meer.

Google laat in een reactie aan de BBC weten dat de meeste Android-gebruikers beschermd zijn via de beveiligingsfunctie address space layout randomisation (ASLR). Volgens Google is deze ASLR-functie bij meer dan 90 procent van de Android-apparaten ingeschakeld.