Alle Android-telefoner med Android 5.0 og opefter kan hackes blot ved et enkelt besøg på en hjemmeside med en ondsindet video. Det skriver det mobile sikkerhedsfirma Zimperium på deres blog.
Zimperium tydeliggør ikke, hvad det nye hul præcis kan bruges til. Det skyldes sandsynligvis, at de fleste Android-enheder endnu ikke er blevet opdateret. Zimperium skriver dog, at sårbarheden kan bruges til at køre vilkårlig kode, hvilket kan dække over ganske alvorlige muligheder for udnyttelse.
»Det er lidt en træls omgang for Google det her, hvis man skal sige det på godt jysk,« siger it-arkitekt og medejer i virksomheden iDeal Development Esben Bjerregard og forklarer, hvordan et enkelt besøg på en skummel hjemmeside kan kompromittere nye som gamle Android-enheders sikkerhed.
»Sårbarheden gør det muligt at bruge de metadata, der er knyttet til MP3- og MP4-filer, og som eksekveres automatisk, når man åbner en hjemmeside, til at køre ondsindet software på telefonen,« siger Esben Bjerregaard. Alle lyd- og videofiler har tilhørende metadata, der instruerer hjemmesider og telefoner i, hvordan filen skal afspilles og vises.
Flere muligheder for udnyttelse
Siden muligheden for at udnytte svagheden gennem MMS-beskeder er blevet patchet væk i forbindelse med de tidligere afsløringer, vil udnyttelse af Stagefright 2.0 sandsynligvis foregå på en af tre måder:
Angriberen får den uvidende bruger lokket ind på en side, angriberen kontrollerer med en spændende URL eller reklame.
Angriberen udfører et man-in-the-middle-angreb og indsætter en kode, der kan udnytte sårbarheden i kommunikationen mellem netværket og målet.
Applikationer som messengers, medieafspillere og lignende udnytter sårbarheden.
Mange telefoner opdateres aldrig
Det blev allerede ved de tidligere Stagefright-afsløringer tydeligt, at selve den måde, hvorpå Google har indrettet sit økosystem med flere forskellige mobilproducenter og et enkelt styresystem, er problematisk. For selvom Google allerede har patchet for denne nye afsløring, så er de forskellige opdateringer endnu ikke rullet ud hos flere af mobilproducenterne. Blandt andre Googles egen Nexus.
»Reelt set er der mange enheder, der aldrig opdateres,« siger Esben Bjerregaard og hentyder til, at flere mobilproducenter stopper med at garantere opdateringer af deres produkter, når garantien udløber. Flere mobilproducenter meldte i forbindelse med de første Stagefright-afsløringer ud, at de fremover ville opdatere deres enheder en gang om måneden.