Wat de bugs interessant maakt, is de manier waarop ze te misbruiken zijn. Een van de manieren waarop dat kan, is met een mms. Zowel de stock-Messaging-app in Android-versies voor 5.0 als Hangouts is getroffen. Hangouts is sinds 5.0 de standaard-mms-app op Nexus-toestellen. Het is onduidelijk of ook apps van derden, bijvoorbeeld fabrikanten, last hebben van het probleem, maar die kans lijkt groot.
Mms is maar één manier om de bug te misbruiken, maar wel een hele interessante
De mms-exploit is de manier waarop de bug vorige week in het nieuws kwam. Hoewel het slechts een van de vele manieren is om de bug te misbruiken, is het wel een hele interessante. Een exploit vereist in dat geval namelijk geen enkele interactie van de gebruiker. Zodra een Android-toestel met de standaard-app een mms ontvangt, verwerkt het Stagefright-framework de video; dat gebeurt in Hangouts zelfs op het moment waarop de notificatie wordt getoond. De onderzoeker heeft niet onderzocht of de kwetsbaarheid geldt voor andere sms-applicaties, zoals de Berichten-apps die standaard staan op toestellen van bijvoorbeeld Samsung.
Zodra de thumbnail is geladen, is een aanvaller dus al binnen. Dat maakt hele griezelige scenario's mogelijk. "Telecomproviders vrezen een worm", zegt Drake. "Die zou zich dan automatisch kunnen doorsturen aan iedereen in het adresboek." Malware zou de notificatie voor de ontvangen mms zelfs weer kunnen verwijderen, zodat gebruikers niets doorhebben.
Nu is mms in Nederland allang niet meer populair en op sommige toestellen is mms standaard niet ingeschakeld, in tegenstelling tot in de Verenigde Staten, waar mensen nog driftig met elkaar mms'en ("Ik heb een hekel aan mms, want het kost extra geld om berichten te sturen", zegt Amerikaan Drake).
Providers zouden de aanval tegen kunnen gaan door verdachte mms'jes te blokkeren. "Een aanval stuurt waarschijnlijk meerdere mms'jes uit, omdat de aanval op verschillende toestellen anders moet worden opgezet", zegt Drake. Als dat gebeurt, kunnen providers ingrijpen.
Drake presenteert de bugs op Black Hat
Maar mms is niet de enige aanvalsmogelijkheid. Ook andere chat-apps zouden kunnen worden gebruikt. Denk aan WhatsApp, maar ook Telegram: zodra een app de mogelijkheid biedt om berichten te versturen, is ze kwetsbaar. "Ik heb WhatsApp nog niet specifiek onderzocht, maar als je video's kunt versturen, kan de bug worden misbruikt", aldus Drake.
Daarbij is een belangrijke vraag of de app video's direct door het Stagefright-framework laat verwerken, of dat dat pas gebeurt als de video wordt geopend. Is dat laatste het geval kan de bug pas worden misbruikt als een gebruiker de video opent. "Maar in het geval van een worm komen dergelijke video's van je vrienden", aldus Drake. De kans is dan aanzienlijk dat een slachtoffer het filmpje zal openen.
Het lijkt er echter op dat ook WhatsApp kwetsbaar is bij het ontvangen van een bericht. Hangouts is kwetsbaar omdat van filmpjes bij het ontvangen direct een thumbnail wordt gemaakt. WhatsApp downloadt op wifi automatisch ook filmpjes van gebruikers, en toont een thumbnail als de chat wordt geopend. De kans is groot dat die thumbnail al bij het downloaden wordt gemaakt, waardoor het filmpje dan al door het Stagefright-framework wordt verwerkt en dus vervelende dingen kan doen.
Andere manieren
Drake komt op minimaal elf verschillende manieren om de bug te misbruiken. "Vanuit de browser kan hij op twee manieren worden misbruikt: door een video te embedden, of door de video als download te serveren", aldus Darke. In beide gevalen wordt de video direct verwerkt en is de gebruiker dus getroffen voordat hij actie heeft ondernomen.
Wel moet de gebruiker eerst naar een website surfen die de video aanbiedt, maar dat hoeft niet per se een schimmige site te zijn: aanvallers misbruiken vaak advertenties op websites om malware te serveren. Dat doen ze bijvoorbeeld door een malafide advertentie te plaatsen en hoewel websites daarop controleren, glippen ze er soms toch doorheen. Ook worden soms advertentienetwerken gehackt.
Ook kan de bug via e-mail worden misbruikt en via protocollen als bluetooth en nfc, maar ook via een bestand op een sd-kaart. Drake vindt deze manieren om de bug te misbruiken wel minder ernstig dan de mms-exploit, omdat deze in elk geval nog enige interactie van de gebruiker vragen. Dat in tegenstelling tot de mms-exploit, die in het geval van Hangouts altijd direct werkt.
:strip_exif()/i/2000782839.jpeg?f=fpa)
:strip_exif()/i/1219071389.gif?f=fpa)
:strip_exif()/i/1301907819.gif?f=fpa)
/i/1382075952.png?f=fpa)
:strip_exif()/i/2000583967.jpeg?f=fpa)
/i/1344423132.png?f=fpa)
:strip_exif()/i/1263563744.gif?f=fpa)