Beveiligingsonderzoekers van een Israelisch beveiligingsbedrijf hebben een nieuwe aanval op Androidtoestellen gedemonstreerd die van de Stagefright-kwetsbaarheid gebruikmaakt die vorig jaar al werd onthuld. Stagefright is een bibliotheek die verschillende mediaformaten verwerkt.

Via kwaadaardige mediabestanden zou een aanvaller in het ergste geval willekeurige code op het toestel kunnen uitvoeren. Dit zou bijvoorbeeld kunnen door het versturen van een mms of het bezoeken van een kwaadaardige website. Na ontdekking van de kwetsbaarheid kwam Google met beveiligingsupdates voor Android, hoewel nog steeds miljoenen toestellen de update niet hebben geïnstalleerd of ontvangen, bijvoorbeeld omdat de fabrikant het toestel niet meer ondersteunt.

Volgens onderzoekers van het Israëlische NorthBit (pdf) werd destijds gesteld dat het door beveiligingsmaatregelen in nieuwere Androidversies onpraktisch zou zijn om echt van de kwetsbaarheid misbruik te maken. De onderzoekers hebben nu aangetoond dat deze beveiliging is te omzeilen. Hiervoor werd een kwaadaardig mp4-bestand op een website gebruikt.

Aanval

Een universele aanval die op alle Androidtoestellen werkt konden de onderzoekers niet ontwikkelen. De nu gedemonstreerde aanval werkt op Android versie 2.2 - 4.0 en Android versie 5.0 en 5.1, waarbij de ASLR-beveiliging van versie 5.0 en 5.1 wordt omzeild. De meeste succes hadden de onderzoekers met het aanvallen van een Nexus 5 met standaard Androidversie. Met kleine aanpassingen is het ook mogelijk om de aanval op een HTC One, LG G3 en Samsung S5 te laten werken. Volgens de onderzoekers zijn er 275 miljoen toestellen die de Androidversies gebruiken waarop de aanval kan werken. Hieronder een video waarin de aanval wordt gedemonstreerd.