Ouch: Android-lek Stagefright toch niet opgelost met patch
Problemen voor Google en de Android-fabrikanten: de patch voor het ernstige Stagefright-lek beschermt toch niet voldoende.
Omweg
Door een lek in het videoframework van Android wordt automatisch de metadata van een video ingeladen, ook als de metadata malafide code bevat. Google rolde recentelijk een patch uit, die onder andere ook Samsung naar enkele smartphones verstuurde.
Deze patch lijkt toch niet voldoende te beveiligen, zo ontdekte beveiligingsbedrijf Exodus. Via een omweg, die wel wat lastiger is, kunnen kwaadwillenden toch nog van het lek in het videoframework misbruik maken.
En nu?
Google bevestigt tegenover The Verge dat de eerste patch nog niet tegen het Stagefright-lek beschermt, dus de internetgigant werkt nu aan een tweede patch. Die wordt in september naar Nexus-toestellen uitgerold. Fabrikanten krijgen rond die tijd ook toegang tot de patch, die zij vervolgens weer naar hun smartphones en tablets kunnen uitrollen.
Hopelijk beveiligt de tweede patch Android-gebruikers wel tegen dit lek. Het is onduidelijk hoe fabrikanten met de patches omgaan; of ze wachten tot de tweede patch, of sowieso beide patches uitrollen. Wij verwachten het eerste.
Lees ook
Uitlegparty: Android en beveiliging, moeten we ons zorgen maken?