De patches voor Stagefright zijn nog lang niet door alle fabrikanten uitgerold of er is weer een nieuwe kwetsbaarheid opgedoken. Stagefright 2.0 maakt opnieuw een miljard Android toestellen kwetsbaar voor kwaadwillenden.
Stagefright 2.0
Nog steeds zijn miljoenen Android gebruikers kwetsbaar voor het eerste Stagefright-lek. Fabrikanten rollen hun patches maar langzaam uit en voor een beperkt aantal smartphones. Die patches komen opnieuw handig van pas want Stagefright 2.0 is hier met een nieuw lek in het afspelen van MP3 bestanden en MP4 video bestanden.
Het lek is via een browser of mediaspeler te activeren. Zonder dat je het door hebt wordt er een achterdeur geopend en krijgt een hacker toegang tot je bestanden. Het is dus raadzaam om niet zomaar een onbekende video of een onbekend geluidsbestand af te spelen.
De eerste bug zit in het libutils component van Android, en is te vinden in Android 1.0 tot en met de meest recente patchversie van Android 5.1.1 Lollipop die voor Nexus apparaten is uitgebracht. Mogelijk is ook Android 6.0 Marshmallow kwetsbaar voor dit nieuwe lek. Google heeft het lek CVE-nummer CVE-2015-6602 meegegeven. Voor de tweede bug is nog geen CVE-nummer toegekend door Google.
Google zal volgende week een patch uitbrengen in hun Nexus Security Bulletin, zo is te lezen in de blog van Zimperium. Ook verwacht het bedrijf dat er nog meer kwetsbaarheden gevonden zullen worden in de modules die standaard worden meegeleverd met Android.
