Stagefright terug van nooit weggeweest: vijf vragen

Androidtoestellen zijn opnieuw kwetsbaar door een Stagefright-lek. Het Stagefright-lek zorgde afgelopen zomer voor veel ophef. Door het lek kon een kwaadaardige video via MMS worden verstuurd en automatisch worden ingeladen. Nu is er weer een nieuwe variant. Met evenveel gevaren.

1. Wat was Stagefright ook al weer?

Een ernstig lek dat miljoenen Android smartphones in gevaar leek te brengen. Bij Stagefright 1.0 was het bijvoorbeeld mogelijk om kwaadaardige code te versturen via een speciaal opgesteld MMS-bericht. Veel mobiele providers hebben daar een stokje voor gestoken, maar daarmee was het gevaar niet geweken. Een toestel kan nog steeds volledig worden overgenomen.

2. Dat lek is inmiddels toch gedicht?

Nou nee, pas vandaag maandag 5 oktober krijgen gebruikers van Googles Nexus toestellen een reparatiebestand aangeboden als onderdeel van de maandelijkse beveiligingsupdates. Google rolt zijn updates nooit in één keer uit, dus dat kan ook nog enkele dagen duren. De partners van Google hebben op 10 september een reparatiebestand gekregen, maar het is niet duidelijk hoe snel die zijn. Google lost met deze updates vooral zwakheden in Googles Messenger en Hangouts apps op.

3. En dat is nu allemaal voor niets geweest?

Ja en nee. Het beveiligingsbedrijf dat Stagefright ontdekte, is nu wederom twee nieuwe lekken op het spoor gekomen die ervoor kunnen zorgen dat kwaadaardige apps geïnstalleerd kunnen worden zonder toestemming van de gebruiker. Het bedrijf noemt de lekken Stagefright 2.0. Het gevaar zit alleen in Android 5.0 of hoger.

4. Wie lopen gevaar?

Volgens Zimperium is er een speciaal aangepast Mp3- of Mp4-bestand nodig om de aanval in te zetten. Dat kan door gebruik te maken van kwaadaardige advertenties of via een onbeveiligd WiFi-toegangspunt. Ook de Messenger-app kan weer misbruikt worden. Zimperium heeft zijn bevindingen op 15 augustus met Google gedeeld, maar je zult wederom moeten wachten totdat er een oplossing komt. Overigens rolt Google vanaf deze week ook Android 6.0 uit, waarvan niet duidelijk is of die dezelfde zwakheden bevat.

5. Heeft Zimperium niet zelf meegeholpen aan het ontstaan van het lek door de broncode van de Stagefright exploit ter beschikking te stellen?

Nee, want een exploit voor het nieuwe lek is er nog niet. Zimperium heeft alleen nieuwe zwakheden ontdekt. Met het openbaren van die code heeft het bedrijf juist fabrikanten van smartphones onder druk willen zetten, want die waren tot dusverre laks met het repareren van Android. Daarin lijkt nu eindelijk verandering te komen.