Honderden apparaten krijgen snel een update voor het ernstige beveiligingsprobleem in het Stagefright-framework. Dat beloofde Google op de Black Hat-beveiligingsconferentie in Las Vegas. Google is zelf al begonnen met de uitrol van de update voor Nexus-toestellen.
Volgens beveiligingsmedewerker Adrian Ludwig van Google krijgen onder meer de Nexus-toestellen van Google zelf snel een update, maar ook recente vlaggenschepen van Samsung, zoals de Galaxy S6, S6 Edge en S5. Ook de LG G-modellen, de One M-modellen van HTC en recente Xperia Z's krijgen deze maand nog een update, belooft Ludwig. Ook 'honderden andere' Android-toestellen krijgen een update. "Ik denk dat dit de grootste gecoördineerde software-update ooit is", zei hij op de Black Hat-beveiligingsconferentie in Las Vegas. Sommige Nexus-gebruikers hebben de update volgens Ludwig al gehad.
De bug in het Stagefright-video-framework van Android treft alle Android-versies sinds 2.2, en maakt het mogelijk om een Android-toestel met behulp van een malafide video te kraken. Oudere toestellen zijn kwetsbaarder, omdat die meer bekende beveiligingsproblemen bevatten waarmee een aanvaller verdere toegang tot een toestel krijgen. "Oudere Android-toestellen bevatten talloze kwetsbaarheden om root te krijgen", zo zei de beveiligingsonderzoeker die het probleem ontdekte, Joshua Drake, op Black Hat tegen Tweakers.
Om de infectiekans op kwetsbare toestellen te verkleinen, stopt Google Hangouts met het automatisch verwerken van filmpjes voor het tonen van thumbnails. Daardoor moeten gebruikers zelf een filmpje openen om te kunnen worden getroffen door het beveiligingsprobleem. "Dat zal tegen eind deze week gebeuren", aldus Ludwig. "Je ziet dan dus geen thumbnails meer."
Drake was oorspronkelijk van plan om tijdens Black Hat een exploit voor het probleem vrij te geven, maar dat is uitgesteld naar uiterlijk 24 augustus. Volgens Drake hebben telecomproviders hem gevraagd om de exploit uit te stellen, omdat ze bang waren dat aanvallers de bug in de vorm van een worm zouden misbruiken, die zichzelf van telefoon naar telefoon zou verspreiden. Het is onduidelijk hoeveel toestellen op 24 augustus al gepatcht zullen zijn.
Google belooft Nexus-toestellen minimaal drie jaar te zullen ondersteunen. Eerder deze week beloofde Samsung al om updates sneller uit te rollen, en LG heeft vergelijkbare beloftes gedaan.