Onderzoekers hebben een ernstig beveiligingslek in Android ontdekt waardoor het mogelijk is om toegang tot toestellen te krijgen door alleen een mms-bericht te versturen. Vervolgens kan een aanvaller informatie stelen, e-mails lezen, de microfoon inschakelen en andere taken uitvoeren. De kwetsbaarheid bevindt zich in Stagefright, een mediabibliotheek die verschillende populaire mediaformaten verwerkt.
Beveiligingsbedrijf Zimperium ontdekte de kwetsbaarheid in het Android-onderdeel, dat het zelf het ergste Android-lek tot nu toe noemt.
Een aanvaller hoeft namelijk alleen een mms-bericht te versturen om code op het toestel uit te voeren. Het is daarbij zelfs mogelijk om het bericht te verwijderen voordat de gebruiker dit te zien krijgt. Alleen de ontvangstmelding is het enige dat zichtbaar is. De onderzoekers waarschuwen dat de kwetsbaarheid zeer ernstig is, aangezien er geen enkele interactie van het slachtoffer is vereist.
Een aanvaller kan malware verstoppen in de video, dat wordt ingeladen zodra het filmpje wordt gestart. Daarbij krijgt een aanvaller vergaande bevoegdheden: zo kan hij de microfoon en de camera activeren of het scherm 'aftappen'.
In het geval van bijvoorbeeld Hangouts worden filmpjes direct verwerkt door Stagefright, waardoor de malware direct bij het ontvangen al wordt geactiveerd. Een slachtoffer hoeft dus niet zelf een malafide filmpje op te starten. Beveiligingsonderzoeker Joshua Drake van Zimperium, die het probleem ontdekte, zegt tegenover NPR dat bij de standaard-berichten-app van Android filmpjes moeten worden ingeladen voordat ze schade kunnen veroorzaken. Het is niet duidelijk of apps als WhatsApp en Telegram dat ook doen, of filmpjes net als Hangouts direct inladen.
Ook kan de bug worden misbruikt door aanvallers op internet, door video's met malware aan te bieden aan potentiële slachtoffers. Dat kan bijvoorbeeld via malafide advertenties. Op die manier kunnen grote hoeveelheden Android-gebruikers worden geïnfecteerd met malware.
Daarnaast is onduidelijk of het probleem is gepatcht. Volgens onderzoeker Drake heeft Google zijn patches overgenomen, maar het is niet duidelijk of die in de meest recente Android-versie aanwezig zijn. Zeker is wel dat veel Android-toestellen niet zijn gepatcht: omdat fabrikanten software-updates voor Android meestal zelf nog aanpassen, kan het maanden duren voordat ze een patch krijgen, als de hardware überhaupt nog wordt ondersteund. Wel is sommige functionaliteit in Android ondergebracht in Play Services, waardoor die via de Play Store kan worden bijgewerkt.
Op dit moment wordt het probleem nog niet actief misbruikt, maar dat kan veranderen nu het bestaan van de bug aan het licht is gekomen. Volgende week, op de Black Hat-beveiligingsconferentie in Las Vegas, maakt Drake meer details over het beveiligingsprobleem bekend.