Android is nog niet helemaal van de Stagefright-bug af. Acht dagen nadat Google, smartphonefabrikanten en providers een patch uitbrachten om het lek te dichten, blijkt dat telefoons onder sommige omstandigheden nog steeds lek zijn.
Onderzoeker Zimperium vond het lek al in april van dit jaar en heeft meteen Google ervan op de hoogte gesteld. Het lek zit in een module die ‘Stagefright’ heet en die wordt gebruikt voor het afspelen van videofragmenten. Die app wordt aangestuurd door een speciaal tekstbericht en zet zo de smartphone wijd open voor derden. Android downloadt die content automatisch, ook als het om een geïnfecteerd bestand gaat.
Onderzoekers van cybersecuritybedrijf Exodus Intelligence zijn erin geslaagd om na de patches een smartphone te laten crashen door een geïnfecteerd videobestand via MMS te sturen. Of de controle over de gsm vervolgens overgenomen kon worden, is niet duidelijk.
Google bevestigde het lek en heeft al een tweede patch uitgestuurd om het te dichten. ‘De Nexus 4 t/m 10 en Nexus Player krijgen de patch in de maandelijkse security-update van september’, klinkt het. Wanneer de overige apparaten die op Android draaien de nieuwe patch krijgen, is niet gezegd.
