Maar liefst 95 procent van alle Android-toestellen zijn kwetsbaar voor een lek in Stagefright, de media-tool van het OS. Tot nu toe liep je echter geen groot risico om slachtoffer te vallen aan cybercriminelen, aangezien het gewoonweg te moeilijk was om een betrouwbare methode te implementeren die het lek kon misbruiken. Het beveiligingsbedrijf NorthBit doet in een paper echter een methode uit de doeken, waarmee op slechts 20 seconden tijd in je smartphone kan ingebroken worden.
Kwaadaardige filmpjes
De onderzoekers van het bedrijf maken gebruik van een kwaadaardige MPEG-4-video om succesvol misbruik te maken van de Stagefright-lek. Eenmaal je een website hebt bezocht waarop de video wordt gehost, zal de code van het filmpje voor een heap-overflow zorgen. Hierdoor zal de mediaserver van Android crashen, waardoor hardwaredata naar de aanvallers wordt verstuurd. Hierna wordt een nieuw videobestand naar je smartphone gestuurd, waarmee extra beveiligingsdata van je toestel kan worden ontvreemd. Een laatste filmpje zal uiteindelijk je smartphone infecteren.
Wat de aanval zo gevaarlijk maakt, is het feit dat je de video nog niet eens moet starten om slachtoffer te vallen aan de hack. De heap-overflow kan namelijk al worden veroorzaakt tijdens het parsen van mediabestanden. Het parsen van een video wordt gedaan om de metadata, zoals de lengte van het filmpje, titel en artiestnaam, op te halen.
Patches
Google is al enige tijd op de hoogte van het lek en heeft in de tussentijd een patch voorzien, waarmee het probleem van de baan wordt geholpen. Iedereen die een beveiligingspatch van 1 oktober 2015 of later op zijn toestel heeft staan, is daardoor volledig beschermd tegen de Stagefright-hack. De meeste mensen gebruiken echter een smartphone met Lollipop of KitKat, die slechts in erg weinig gevallen een patch voor de Stagefright-hack hebben ontvangen.