Broncode gevaarlijk lek in Android gepubliceerd
De broncode van de zogenaamde Stagefright-kwetsbaarheid in Android is door de onderzoeker die de bedreiging ontdekte, Joshua Drake, online gezet. Hiermee is het gevaar nog groter geworden, aangezien meer kwaadwillenden op de hoogte zijn van de exploit en hoe deze werkt.
In augustus vertelde Drake, vice president van het onderzoeskbureau Zimperium Labs, over de kwetsbaarheid in Android tijdens Black Hat en de DEF CON beveiligingsconferentie. Stagefright gebruikt een lek in de manier waarop Android met video's omgaat. Hackers kunnen malafide code in een video plaatsen en op die manier je smartphone gedeeltelijk of helemaal overnemen. Wanneer de video op een Android-apparaat komt te staan, kan deze al geïnfecteerd zijn. Dit kan door de video via mms of WhatsApp te versturen, want hierbij hoef je niet akkoord te gaan om de video te downloaden. Stagefright tast niet enkel oudere Android devices aan, ook nieuwere devices hebben last van het lek.
Updates van Google
De aankondiging in augustus is niet onopgemerkt gebleven door Google. De ontwikkelaar heeft meerdere updates uitgebracht om de gevaarlijkste onderdelen van Stagefright te blokkeren. Zo is het nu niet meer mogelijk om een gehele Android-smartphone over te nemen door alleen een malafide mms te versturen. Stagefright is echter nog niet helemaal tegen te houden. Drake hoopt dat er door de bekendmaking van de code meer onderzoek gedaan wordt naar een oplossing en dat deze snel uitgebracht wordt.
Eerder al gemeld
Drake liet in juli al weten dat hij het lek gevonden had. Toen vertelde hij dat Stagefright meer dan 950 miljoen Android-apparaten kan infecteren. Op dat moment maakte hij de exploit code echter nog niet bekend, hij wilde Google de tijd geven om met patches te komen. Op 24 augustus wilde Drake de exploit code al bekend maken, maar deed dit niet. Waarom hij het nu wel doet, is niet helemaal duidelijk.