Google bekrefter til blant annet Engadget og The Verge at sikkerhetsfiksen som de siste ukene har blitt rullet ut til Nexus-enhetene og en hel del andre Android-enheter, ikke er tilstrekkelig.
Les mer: Storoffensiv mot Stagefright-feilen
Fortsatt sårbar
Torsdag denne uken publiserte selskapet Exodus Intelligence et blogginnlegg hvor det oppgis at det fortsatt er mulig å få Android-enheter, i alle fall en oppdatert Nexus 5, til å krasje ved hjelp av en MP4-fil som greier å omgå endringene som den ferske sikkerhetsfiksen innførte.
Problemet skal stadig være knyttet til en del av koden i Stagefright-biblioteket hvor den opprinnelige sårbarheten eksisterte.
Exodus Intelligence opplyser at selskapet varslet Google om dette den 7. august, altså for en uke siden. Likevel har selskapet valgt å offentliggjøre alle detaljer om det nye problemet, uten å gi Google eller andre nok tid til å gjøre noe særlig med det.
Bakgrunn: Avdekket skrekksårbarhet i Android
Kort frist
Google selv gir normalt andre programvareleverandører 90 dager på å utgi sikkerhetsfikser før sårbarhetsdetaljene offentliggjøres. Men Exodus mener at det nye problemet er relatert til det gamle, som Google fikk vite om i april.
– Denne feilen har tiltrukket seg usedvanlig mye oppmerksomhet. Vi mener at vi sannsynligvis ikke er de eneste som har oppdaget at den er defekt. Andre kan ha ondsinnede hensikter, skriver Exodus om sikkerhetsfiksen i blogginnlegget.
Google opplyser at den nye sikkerhetsfiksen har blitt gjort tilgjengelig for selskapets partnere. Selskapet vil selv rulle ut denne sikkerhetsfiksen som en del av en sikkerhetsoppdatering som planlegges i september for Nexus 4/5/6/7/9/10 og Nexus Player.
Google: Utlyser dusør for Android-sårbarheter
Botemidler
Samtidig opplyser Google at de aller fleste Android-enheter har støtte for teknologier som ASLR (Address Space Layout Randomization), noe som skal gjøre utnyttelse av denne typen sårbarheter svært vanskelig. Det forklares likevel ikke hvorfor dette ikke hindret Exodus i å utnytte sårbarheten.
Det finnes flere apper til Android som skal kunne fortelle brukerne om deres Android-enhet er berørt av Stagefright-sårbarhetene. Exodus skal ha løpende kontakt med Zimperium, som oppdaget de opprinnelige problemene og som har utgitt en slik applikasjon. Den har dog foreløpig ikke blitt oppdatert til å inkludere sårbarheten Exodus har oppdaget.
Inntil man har mottatt den nyeste sikkerhetsfiksen – noe som kan skje innen intervallet «om noen dager til aldri», avhengig av enhet og leverandør – kan man til en viss grad hindre angrep via den viktigste angrepsvektoren ved å skru av automatisk mottak av MMS.
Dette gjøres fra innstillingene til den individuelle meldingsapplikasjonen man benytter, for eksempel Googles egne Hangouts og Meldingsapp (Messenger), Handcent eller noe helt annet.
Kritikk
Exodus avslutter blogginnlegget med å kritisere Google for ikke å ha kommet med effektive tiltak mot utnyttelse av Stagefright-sårbarheten, med tanke på at selskapet har tilgang til bortimot ubegrensede ressurser.
Enda en sårbarhet: Hullet kunne la hackere høre på samtaler og titte ut mobilkameraet