Slechts enkele dagen na het publiceren van een groot beveiligingslek in het media playback systeem Stagefright van Android, waarvoor meer dan een miljard Android apparaten kwetsbaar zijn, is er opnieuw een lek in de beveiliging gevonden die kan worden om gebruikt om de Android smartphone of tablet van het slachtoffer volledig onbruikbaar te maken.
Volgens het beveiligingsbedrijf Trend Micro, die de informatie over de kwetsbaarheid afgelopen dinsdag presenteerde, zijn alle producten met Android 4.3 tot en met Android 5.1.1 Lollipop kwetsbaar. De statistieken van Google laten zien dat dit betekent dat bijna 57% van alle Android apparaten gevaar lopen en dat komt neer op een aantal van maar liefst 900 miljoen apparaten.
[sc:inpost-tekst ]Net als bug in Stagefright wordt er met deze hack opnieuw gebruik gemaakt van de manier waarop Android omgaat met video. De mediaserver dienst, die door Android wordt gebruikt om media bestanden te indexeren, kan worden gestopt bij het indexeren van een aangepast video met een Matroska container, zoals een .mkv bestand. Volgens Trend Micro is het Android product daarna volledig stil en volledig onbruikbaar. Gebruikers kunnen geen ringtone of andere geluiden horen, zijn niet langer in staat om inkomende telefoongesprekken op te nemen, de interface wordt erg traag en de telefoon kan na vergrendeling niet worden ontgrendeld.
Een hacker bijvoorbeeld een website opzetten met een .mkv bestand verwerkt in de HTML pagina, echter kan dit probleem worden verholpen door het apparaat simpelweg opnieuw op te starten. Een andere mogelijkheid is om een app te ontwikkelen met een .mkv bestand dat automatisch start bij het opstarten, het apparaat zal daardoor automatisch crashen na het opstarten.
De kwetsbaarheid in het Android besturingssysteem kan gelukkig niet worden gebruikt om programmeercode op afstand uit te voeren, waardoor het minder gevaarlijk is dan de Stagefright bug. Echter verwacht Trend Micro dat de mediaserver dienst meer bugs kan bevatten.
Trend Micro heeft Google geïnformeerd en volgens het bedrijf werd de kwetsbaarheid laag op de prioriteitenlijst gezet.
[sc:adsense-tekst ]