De ontdekkers van het grote Android-lek Stagefright hebben de broncode en details van het lek vrijgegeven. Hoewel Google een patch beschikbaar heeft blijven veel Android-toestellen kwetsbaar.

De broncode is vrijgegeven door beveiligingsbedrijf Zimperium, dat het lek eind juli openbaar maakte.

Bij het vrijgeven van de broncode legt Zimperium ook uit hoe die gebruikt kan worden om de kwetsbaarheid in Android te misbruiken.

Beveiliging

Google heeft al een beveiligingsupdate voor Stagefright uitgebracht. Deze moet echter wel door alle ontwikkelaars van Android-toestellen naar de apparaten van gebruikers worden uitgerold.

Bij nieuwe Android-apparaten is dat in veel gevallen al gebeurd, oudere toestellen blijven vooralsnog echter kwetsbaar voor misbruik met Stagefright.

Veel Android-fabrikanten pasten na de bekendmaking van het Stagefright-lek hun update-beleid aan, en beloven hun klanten voortaan vaker en sneller beveiligingsupdates.

Misbruik videobestanden

Stagefright misbruikt een lek in de manier waarop Android met videobestanden omgaat. Kwaadwillenden kunnen malafide code verstoppen in een video en zo de telefoon van een slachtoffer uitlezen of zelfs overnemen.

Wanneer zo'n malafide video op het Android-apparaat van de gebruiker komt te staan, kan het al geïnfecteerd zijn. Dat zou bijvoorbeeld kunnen door een video middels MMS te versturen, zodat de gebruiker de video ontvangt zonder daar zelf eerst akkoord mee te gaan.

Die manier van het misbruiken van het lek is door sommige telecomaanbieders minder aantrekkelijk gemaakt door video middels MMS niet meer direct te bezorgen. Het versturen van een video middels een berichten-app zou in sommige gevallen ook tot infectie kunnen leiden.

Gevolgen onbekend

Zimperium heeft bij de bekendmaking van Stagefright al aangegeven alle details uiteindelijk te onthullen. Daar is mee gewacht om Google de tijd te geven het lek te dichten.

Door de broncode nu vrij te geven hoopt het beveiligingsbedrijf ontwikkelaars aan te sporen hun software tegen het lek te beschermen. Met de volledige broncode bij de hand zou ook beter getest kunnen worden of het lek inderdaad volledig is gedicht.

Hoewel Stagefright één van de grootste Android-lekken tot nu toe is, blijft het onbekend of er in de praktijk al daadwerkelijk misbruik van is gemaakt.