Broncode voor Stagefright-exploit online gepubliceerd

  1. 10 sep 2015
  2. 0 reacties

Dat de Stagefright-video-engine in Android meerdere kwetsbaarheden bevat is al langer bekend. Tot nu toe was de broncode van deze kwetsbaarheden echter niet beschikbaar op internet. Hier is nu verandering in gekomen. Een beveiligingsbedrijf heeft de broncode van één van de kwetsbaarheden in Stagefright online gezet en legt daarnaast uit hoe deze kwetsbaarheid werkt.

Joshua Drake van Zimperium heeft een voorbeeld online gezet waarin wordt gedemonstreerd hoe de stsc-kwetsbaarheid (CVE-2015-1538) in Stagefright kan worden misbruikt. Samen met een reeks andere kwetsbaarheden staat dit lek bekend als de Stagefright-bug. Dankzij de vrijgegeven broncode is het voor cybercriminelen een stuk eenvoudiger geworden een exploit te bouwen om de kwetsbaarheid te misbruiken.

Groot aantal kwetsbare apparaten

De beveiligingsonderzoeker geeft de broncode vrij in de hoop dat het beveiligingslek sneller door fabrikanten van Android-smartphones en -tablets wordt gedicht. De kwetsbaarheid is in principe geschikt voor alle Android-apparaten, maar vereist in sommige gevallen wel enige aanpassingen in de broncode om deze op bepaalde Android-apparaten te laten werken.

De kwetsbaarheid is inmiddels op sommige apparaten verholpen met behulp van patches die door Google zijn vrijgegeven. Deze patches moeten door fabrikanten van Android-smartphones echter eerst geschikt worden gemaakt voor hun smartphones, waardoor de kwetsbaarheid op lang niet alle Android-smartphones is verholpen.

Uitstel

Drake kondigde eerder al aan de exploit vrij te willen geven en had dit oorspronkelijk op de Black Hat-conferentie op 5 augustus willen doen. Om Google meer tijd te geven het probleem op te lossen werd dit toen echter uitgesteld tot 24 augustus. Nu is de exploit dus alsnog openbaar gemaakt.