Door Joost Schellevis

Redacteur

Gehackt met één berichtje

Ernstig lek in videoframework Android

Mms'en en WhatsAppen

Wat de bugs interessant maakt, is de manier waarop ze te misbruiken zijn. Een van de manieren waarop dat kan, is met een mms. Zowel de stock-Messaging-app in Android-versies voor 5.0 als Hangouts is getroffen. Hangouts is sinds 5.0 de standaard-mms-app op Nexus-toestellen. Het is onduidelijk of ook apps van derden, bijvoorbeeld fabrikanten, last hebben van het probleem, maar die kans lijkt groot.

Mms is maar één manier om de bug te misbruiken, maar wel een hele interessanteDe mms-exploit is de manier waarop de bug vorige week in het nieuws kwam. Hoewel het slechts een van de vele manieren is om de bug te misbruiken, is het wel een hele interessante. Een exploit vereist in dat geval namelijk geen enkele interactie van de gebruiker. Zodra een Android-toestel met de standaard-app een mms ontvangt, verwerkt het Stagefright-framework de video; dat gebeurt in Hangouts zelfs op het moment waarop de notificatie wordt getoond. De onderzoeker heeft niet onderzocht of de kwetsbaarheid geldt voor andere sms-applicaties, zoals de Berichten-apps die standaard staan op toestellen van bijvoorbeeld Samsung.

Zodra de thumbnail is geladen, is een aanvaller dus al binnen. Dat maakt hele griezelige scenario's mogelijk. "Telecomproviders vrezen een worm", zegt Drake. "Die zou zich dan automatisch kunnen doorsturen aan iedereen in het adresboek." Malware zou de notificatie voor de ontvangen mms zelfs weer kunnen verwijderen, zodat gebruikers niets doorhebben.

Nu is mms in Nederland allang niet meer populair en op sommige toestellen is mms standaard niet ingeschakeld, in tegenstelling tot in de Verenigde Staten, waar mensen nog driftig met elkaar mms'en ("Ik heb een hekel aan mms, want het kost extra geld om berichten te sturen", zegt Amerikaan Drake).

Providers zouden de aanval tegen kunnen gaan door verdachte mms'jes te blokkeren. "Een aanval stuurt waarschijnlijk meerdere mms'jes uit, omdat de aanval op verschillende toestellen anders moet worden opgezet", zegt Drake. Als dat gebeurt, kunnen providers ingrijpen.

Drake presenteert de bugs op Black Hat

Maar mms is niet de enige aanvalsmogelijkheid. Ook andere chat-apps zouden kunnen worden gebruikt. Denk aan WhatsApp, maar ook Telegram: zodra een app de mogelijkheid biedt om berichten te versturen, is ze kwetsbaar. "Ik heb WhatsApp nog niet specifiek onderzocht, maar als je video's kunt versturen, kan de bug worden misbruikt", aldus Drake.

Daarbij is een belangrijke vraag of de app video's direct door het Stagefright-framework laat verwerken, of dat dat pas gebeurt als de video wordt geopend. Is dat laatste het geval kan de bug pas worden misbruikt als een gebruiker de video opent. "Maar in het geval van een worm komen dergelijke video's van je vrienden", aldus Drake. De kans is dan aanzienlijk dat een slachtoffer het filmpje zal openen.

Het lijkt er echter op dat ook WhatsApp kwetsbaar is bij het ontvangen van een bericht. Hangouts is kwetsbaar omdat van filmpjes bij het ontvangen direct een thumbnail wordt gemaakt. WhatsApp downloadt op wifi automatisch ook filmpjes van gebruikers, en toont een thumbnail als de chat wordt geopend. De kans is groot dat die thumbnail al bij het downloaden wordt gemaakt, waardoor het filmpje dan al door het Stagefright-framework wordt verwerkt en dus vervelende dingen kan doen.

Andere manieren

Drake komt op minimaal elf verschillende manieren om de bug te misbruiken. "Vanuit de browser kan hij op twee manieren worden misbruikt: door een video te embedden, of door de video als download te serveren", aldus Darke. In beide gevalen wordt de video direct verwerkt en is de gebruiker dus getroffen voordat hij actie heeft ondernomen.

Wel moet de gebruiker eerst naar een website surfen die de video aanbiedt, maar dat hoeft niet per se een schimmige site te zijn: aanvallers misbruiken vaak advertenties op websites om malware te serveren. Dat doen ze bijvoorbeeld door een malafide advertentie te plaatsen en hoewel websites daarop controleren, glippen ze er soms toch doorheen. Ook worden soms advertentienetwerken gehackt.

Ook kan de bug via e-mail worden misbruikt en via protocollen als bluetooth en nfc, maar ook via een bestand op een sd-kaart. Drake vindt deze manieren om de bug te misbruiken wel minder ernstig dan de mms-exploit, omdat deze in elk geval nog enige interactie van de gebruiker vragen. Dat in tegenstelling tot de mms-exploit, die in het geval van Hangouts altijd direct werkt.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee