Site icon Sophos News

Wat kan je doen tegen het Stagefright lek in Android?

Het zal je de afgelopen dagen ongetwijfeld zijn opgevallen. Samsung en Google zijn hard aan het werken om het nieuwste en laatste Android-lek “Stagefright” te dichten. Kort uitgelegd komt het erop neer dat je Android-telefoon gehacked wordt via een SMS of MMS-bericht.

Wat het nog vervelender maakt, is de standaardinstelling die Android hanteert en die daarmee het lek als het ware faciliteert. De SMS/MMS app van Android download automatisch de “content” die met de berichtjes meekomen. Dit heeft er al voor gezorgd dat Google en Samsung hebben aangekondigd vanaf nu iedere maand security updates voor Android-apparaten te pushen.

Maar even terug naar het lek: Stagefright.

Multimedia messaging system (MMS)

Het lek is ontdekt door onderzoekers bij Zimperium en bestaat eigenlijk uit een hele reeks gaten in de security van Android. Even voor de goede orde gaat het om de volgende zeven gaten: CVE-2015-1538, -1539, -3824, -3826, -3827, -3828 en -3829.

De bugs zitten in een nogal lastig deel van Android wat voornamelijk wordt gebruikt door het MMS systeem. Kent u dat nog, MMS? Hetzelfde als SMS maar dan met videos, geluid, foto’s en geen vervelende limiet van 160 tekens? Voor de jongeren onder ons; een voorloper van Whatsapp.

Het systeem is verouderd en kreeg tot afgelopen week niet veel aandacht meer juist vanwege de explosieve groei van Whatsapp, Snapchat of Instagram. Maar de meeste Android smartphones zijn nog steeds in staat MMS berichten te ontvangen en verwerken deze ook automatisch.

En daar schuilt het gevaar. Technisch gezien is een MMS een link die binnenkomt op je toestel zodat je de eigenlijke content van het bericht op een later moment kunt ophalen (als je ervoor kiest het bericht te lezen). Je kan dit het beste vergelijken met e-mailprogramma’s die enkel de onderwerpregel tonen, zodat je zelf bepaalt of je een bericht negeert, verwijdert of opent.

Maar de standaard SMS/MMS apps in Android 4.4 (KitKat) en 5.x (Lollipop) hebben als standaardinstelling deze content automatisch te downloaden zodra de berichten aankomen.

950 miljoen apparaten in risicogroep

De bugs die Zimperium ontdekte, stellen shellcode (uitvoerbare instructies vermomd als onschuldige multimedia gegevens) in staat je apparaat over te nemen zodra het geinfecteerde bericht wordt gedownload.

Dus als cybercrimineel kan jij al malafide activiteiten starten zodra het apparaat van je slachtoffer je geinfecteerde berichtje ontvangt, zelfs al besluiten ze het bericht even later te wissen. Dit staat ook wel bekend als een Remote Code execution (RCE) kwetsbaarheid, zowat de ergste vorm van zijn soort.

Blijkbaar bestaat de bug al enige tijd, en Zimperium schat dan ook dat zo’n 950.000.000 (!) apparaten het risico op infectie lopen (dat is een rekensom die komt van de 95% kans op de kwetsbaarheid maal de inmiddels 1 miljard Android toestellen in omloop).

De eerste patches zijn al onderweg

Google en Samsung weten inmiddels van Stagefright en hebben aangekondigd iedere maand patches te releasen. Heb je bijvoorbeeld een Google Nexus en heb je recentelijk nog een update uitgevoerd, dan ben je waarschijnlijk goed voorzien.

Helaas is het aan alle andere vendoren om Google en Samsung daarin in te volgen. Sprint heeft al aangekondigd updates uit te sturen naar de Nexus 5 en 6 apparaten en naar Galaxy S6, S6 Edge, S5 en Note Edge apparaten. Maar een ander voorbeeld, T-mobile, wist ons nog niet te vertellen wanneer zij updates zouden uitsturen naar hun apparaten.

Dat is namelijk de bottleneck van Android. Vendoren hebben de mogelijkheid Android samen met hun eigen software te gebruiken maar Google laat het ook over aan die vendoren en carriers om de benodigde updates naar hun gebruikers te sturen.

Voor sommige gebruikers betekent dit dus dat je al snel een patch hebt en weer veilig bent, maar voor anderen betekent het dat je maanden kunt wachten op een dergelijke patch (als die er zelfs komt). Zimperium heeft namelijk in hun post over Stagefright nog enkele carriers genoemd waarvan de apparaten binnen de risicogroep vallen, en naast Samsung en Google hebben deze benoemde organisaties nog niets over patches gecommuniceerd.

Carriers met risico-apparaten (Bron: Zimperium)

Wat kan je doen tegen Stagefright?

Kortom, hangt je hele online status en leven niet af van MMS’en en ben je in staat de automatische download-feature uit te zetten? Dan ben je gelukkig al een heel eind op weg om deze dreiging tegen te gaan.

Natuurlijk moet je na het uitschakelen van deze functie niet zomaar een berichtje van onbekende verzenders openen. Krijg je dus bericht van iemand die je niet kent, lijkt het me best dit eerder te verwijderen dan te openen.

En hou er rekening mee dat “Stagefright” zich niet alleen beperkt tot MMS, het richt zich juist op het type content dat zich leent tot MMS. Firefox voor Android heeft onlangs nog een update gehad omdat het blijkbaar ook kwetsbaar was via webpagina’s die geinfecteerde videos bevatten.

Dus, ga zeker op zoek naar die patches, schakel de automatische download-functie uit en open niet lukraak ieder SMS of MMS bericht.

Exit mobile version