En milliard enheter kan være berørt

Ny variant av Stagefright-feilen oppdaget.

Nye Stagefright-feil er oppdaget. Heldigvis er Google allerede i gang med fikser.
Nye Stagefright-feil er oppdaget. Heldigvis er Google allerede i gang med fikser. Bilde: Zimperium
2. okt. 2015 - 09:53

Den såkalte Stagefright-feilen ble oppdaget i sommer, og ble raskt beskrevet som en «skrekksårbarhet» som berørte nesten alle Android-telefoner på markedet.

Det var en svakhet i et multimediebibliotek som kunne utnyttes med spesifikke mediefiler.

Les også: Avdekket skrekksårbarhet i Android

Stagefright ble etter hvert fikset via storstilt offensiv fra Google og samarbeidende produsenter, som lovet å komme med jevnlige sikkerhetsoppdateringer fra da av.

Dessverre viser sikkerhetsselskapet Zimperium nå til en ny variant av feilen, som de kaller for Stagefright 2.0.

Mediefiler i sentrum

Det er i hovedsak to «bugs» som kan være inngangsporten til angrep på Android-enheter. Det kreves spesialutviklede MP3- eller MP4-filer, disse filene, hvis avspilt, kan aktivere skadelig kode på de relevante enhetene.

Og disse relevante enhetene er det mange av. En av de to feilene angår nemlig alle Android-enheter fra versjon 1.0 som ble lansert i 2008. Den andre feilen kan brukes til å angripe nyere Android-enheter med sikrere versjoner av operativsystemet. Kombinert kan disse to svakhetene brukes til å bryte seg inn i de aller fleste Android-enheter, over en milliard.

Les også: Storoffensiv mot Stagefright-feilen

Zimperium skriver at Stagefright 2.0-feilen kan aktiveres selv om brukeren bare tar en rask titt på den aktuelle mediefilen. Riktignok innebærer det at brukeren først lures inn på en webside som kontrolleres av angriperen, dette kan gjøres via phishing eller usikre annonser. Den opprinnelige Stagefright-feilen kunne utnyttes via MMS, men dette hullet ble tettet av Google.

Google er også nå advart om Stagefright 2.0, og en fiks skal rulles ut allerede neste uke. Det er dessverre en del av Androids natur at mange brukere ikke får anledning til å oppdatere sine enheter, gjerne fordi ikke alle produsenter er like flinke til å følge opp.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.