Een bug in Android zorgt ervoor dat kwaadwillenden een dos-aanval kunnen uitvoeren. Hierdoor vertraagt de telefoon en loopt de accu leeg of moet hij opnieuw worden opgestart. In ernstigere gevallen kan een eindeloze reboot de telefoon treffen.
Daarvoor waarschuwt Trend Micro dinsdag. Volgens het Japanse beveiligingsbedrijf zit de kwetsbaarheid in de mediaserver van Android, waarin onlangs ook al een ernstig beveiligingsprobleem werd gevonden. Trend Micro beweert dat iedereen met Android 4.0.1 Jelly Bean tot 5.1.1 Lollipop kwetsbaar is.
Om misbruik te maken van de bug, moeten aanvallers ervoor zorgen dat eigenaren van een Android-telefoon een malafide app installeren of naar een site gaan die een foutief .mkv-mediabestand bevat. Zodra de mediaserver het bestand probeert af te spelen, valt de functie volgens Trend Micro in een loop waar de gebruiker niets aan kan doen. Het hele systeem vertraagt totdat het opnieuw opstart of de batterij leeg is.
De bug ontstaat door een integer overflow tijdens het parsen van .mkv-bestanden, wat ervoor zorgt dat de telefoon in een loop belandt tijdens het lezen van de videoframes. Trend Micro heeft twee proof-of-concepts gepubliceerd waarin het laat zien hoe de aanval precies in zijn werk gaat. In de ergste gevallen kan een eindeloze reboot ontstaan waardoor de telefoon onbruikbaar wordt, doordat een malafide app automatisch opstart tijdens het booten van het besturingssysteem.
Trend Micro claimt dat het behoorlijk lastig is om van een malafide app af te komen. Het is weliswaar mogelijk om de map te localiseren, maar kwaadwillenden kunnen ervoor kiezen om de dos-aanval een tijd uit te stellen. Hierdoor is het lastiger om na te gaan welk programma het rebooten veroorzaakt. Het beveiligingsbedrijf vindt dat fabrikanten de software op hun verouderde apparaten moeten bijwerken.
Het is de tweede keer in korte tijd dat een kwetsbaarheid de mediaserver van Android treft. Vorige week kwam een beveiligingsprobleem in datzelfde programma aan het licht waardoor het kinderlijk eenvoudig bleek om toegang te krijgen tot een Android-systeem. Specifiek ging het om een probleem in het Stagefright-framework in Android, dat verantwoordelijk is voor het afspelen van filmpjes.