image

Google: update voor Stagefright-lek op tijd beschikbaar

woensdag 5 augustus 2015, 21:57 door Redactie, 7 reacties

Eigenaren van een Android-toestel zullen op tijd een beveiligingsupdate voor een zeer ernstig lek ontvangen, zo heeft Google tijdens de Black Hat conferentie in Las Vegas laten weten. Het gaat om de Stagefright-kwetsbaarheid, waardoor een aanvaller op afstand code op smartphones kan uitvoeren.

Het enige dat hiervoor is vereist is het versturen van een mms-bericht, hoewel de kwetsbaarheid ook via websites en apps is aan te vallen. Het probleem werd door beveiligingsbedrijven Zimperium en Trend Micro ontdekt. Beide partijen waarschuwden Google, dat vervolgens met een update kwam. Het uitrollen van de patch onder telecomaanbieders en fabrikanten was lastig. Vanwege alle aandacht voor en de omvang van het probleem kwamen verschillende fabrikanten in beweging en maakten bekend met patches te komen. Zo kondigde Samsung zelf geheel nieuw beleid aan voor het uitrollen van Android-beveiligingsupdates. Elke maand zullen gebruikers straks updates ontvangen.

In het geval van Google zal de internetgigant de updates vandaag naar eigenaren van een Nexus 5 en Nexus 6 sturen, aldus AndroidPolice en Business Insider. Volgens Adrian Ludwig van het Android Security Team zullen de meeste Android-gebruikers de update pas later deze maand ontvangen. Toch is hij optimisch dat gebruikers zullen worden beschermd door bestaande beveiligingsmaatregelen, zoals ASLR. Deze technologie maakt het lastiger om van kwetsbaarheden zoals Stagefright gebruik te maken en is op 90% van de Android-toestellen aanwezig. Daarnaast verwacht Ludwig dat de patches op tijd worden uitgerold, nog voordat aanvallers via Stagefright gebruikers kunnen aanvallen, zo meldt The Verge.

Reacties (7)
05-08-2015, 23:13 door Erik van Straten
De Duitse Telekom wil daar niet op wachten en heeft het uitwisselen van MMS berichten geblokkeerd (Duitstalig): https://www.telekom.com/verantwortung/sicherheit/news/283450 (bron, eveneens Duits: http://www.heise.de/security/meldung/Telekom-schaltet-MMS-wegen-Android-Luecken-ab-2771732.html).

Vermoedelijk toeval en geen worm of zo, maar vanavond om 22:10 ontving ik een MMS bericht (zonder onderwerp) van een nichtje (ik kan me niet herinneren ooit een MMS te hebben ontvangen). Mijn (Engelstalig ingestelde) Android smartphone meldt:
Message size: 1KB
Expires: 22:10, Aug 8
   [ Download ]
(ik heb in de instellingen van mijn smartphone automatisch downloaden van MMS uitgezet, en ga dit bericht -voor de zekerheid- niet downloaden).

Ik heb mijn nichtje gebeld, zij was bezig met het overzetten van haar SIM-kaart in een oude Android smartphone van haar zus nadat haar eigen telefoon (geen Android meen ik) de geest had gegeven en was die telefoon wat aan het opruimen, het kan dus best dat ze mij per ongeluk wat gestuurd heeft. Het is een hele lieve meid, maar wat MMS is weet ze niet; ik sluit uit dat ze deze opzettelijk (als geintje, gezien het nieuws hierover - dat ze ook niet leest) naar mij verzonden heeft.

Googlen naar mms 1KB expires download levert best veel hits op die niets met de Stagefright vulnerability te maken hebben, en bij een worm zou je een "smakelijker" subject verwachten (ook als mijn nichtje dit bericht opzettelijk naar mij gestuurd had). Aan de andere kant, "No Subject" zou extra nieuwsgierigheid kunnen opwekken...
06-08-2015, 06:06 door Anoniem
"Nexus 5 en Nexus 6"

en alle andere nexus apparaten? ik neem even aan dat aangezien het lek ook websites raakt dat de tablets ook kwetsbaar zijn.

hoera voor de patch/uitrol snelheid van google.. zitten nu al wat? 1.5 weken op een kritieke zero day fix te wachten, zelfs adobe is sneller...

wat een epische faal is dit.
06-08-2015, 08:36 door Anoniem
mooi, mijn nexus (2012) krijgt dus geen update, lekker weer van google en 3 jaar support is BS.
ben geen super fan van microsoft maar security + ondersteuning doen ze wel 100x beter.

geen idee of firefox voor android al gepatched
wat een onzin,
bij deze klaar met google hardware
06-08-2015, 09:45 door Sokolum
De beveiligingsonderzoeker Joshua Drake van Zimperium, heeft alleen MMS onderzocht, maar het Stagefright-framework dat fataal is, wordt ook OA gebruikt door WahtApp en nog meer Apps dat niet is onderzocht. Dus wat de Duitse Telekom doet is prima, maar biedt geen oplossing. Laten ze zicht maar druk maken voor het ontwikkelen van een nieuwe firmware en daar zit de pijn. Want de vele mobiele providers bieden een telefoon aan met customized firmware waarna nooit (vrijwel) meer een update opvolgt. ze hebben het geld niet of geen geld voor over. Wat Duitse Telekom nu doet zal vast door andere mobiele providers worden overgenomen, het onderuitkomen voor het brengen van een beveiligingsupdate. Ik vrees dat zelfs recente toestellen het haasje zijn.
06-08-2015, 10:57 door Anoniem
Hoezo op tijd? Waar is de update dan ? De exploit PoC valt anders wel al te vinden.

Trouwens lijkt me dit allemaal niet zo bijzonder; aanvallen via video-containers is niets nieuws.
06-08-2015, 14:53 door Anoniem
mijjn wolfgang kan niet eens updaten dacht ik. wat nu ? xd
10-08-2015, 11:55 door Anoniem
Android 4.0.3 wordt al een tijdje niet meer updatet door HTC. Dan zal ik nu ook wel achter het net vissen.
Hiermee is toch een serieus probleem met Android aan het licht gekomen!! Men kan gewoonweg niet van je verlangen dat je elke 2 jaar een nieuw apparaat koopt om alleen maar bij te blijven met patches. Elk serieus bedrijf heeft versiebeheer en ondersteuning van bepaalde versies voor langere tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.