Ergste lek ooit (StageFright) in miljard Android-toestellen - hoe bescherm je je telefoon?

Ernstigste Android-lek ooit - genaamd 'StageFright' - treft bijna een miljard telefoons (en vermoedelijk tablets). Updates komen - hopelijk - eind deze maand voor bepaalde toestellen. Schakel voorlopig automatisch binnenhalen van MMS-berichten en automatisch downloaden van video's in WhatsApp uit, als je het zekere voor het onzekere wilt nemen (hoewel nog geen actieve aanvallen bekend zijn). iOS (iPhone), Windows Phone en BlackBerry niet getroffen.

In alle Android-versies (van 2.2 tot de nieuwste 5.1.1) die draaien op telefoons (en tablets) van onder andere Samsung, HTC, Huawei, Sony, LG, Motorola en Google Nexus  zijn vorige week ernstige lekken ontdekt in de wijze waarop video-bestanden verwerkt worden. Het afspelen van een besmet filmpje kan kwaadwillenden volledige controle over de Android-telefoon geven. Beveiligingsbedrijven en nieuwsmedia spreken over het ergste Android-lek ooit, dat StageFright is genoemd - naar het gelijknamige video-framework in Android dat video's afspeelt.

Het lek is zo ernstig omdat het zonder tussenkomst van de gebruiker uitgebuit kan worden. Een ontvangen MMS-bericht met een video kan al voor besmetting zorgen, het filmpje hoeft niet eens geopend te worden. Ook schadelijke filmpjes in WhatsApp zouden tot een infectie kunnen leiden, doordat video's al automatisch geladen worden door het StageFright-framework in Android.

Nu is het lek nog niet openbaar gemaakt door ontdekker Joshua Drake van beveiligingsbedrijf Zimperium, maar de verwachting is dat de komende weken wel zogeheten exploits opduiken die misbruik maken van de kwetsbaarheid. Google heeft gisteren een update uitgebracht voor zijn Nexus-toestellen en ook andere fabrikanten als Samsung, HTC, Sony en LG beloven eind deze maand updates uit te brengen voor een aantal van hun telefoons. Probleem is dat dit met name 'vlaggenschepen' en recente smartphones zullen zijn. Oudere toestellen kunnen wel eens de boot missen.

En dit legt meteen de vinger op de zere plek: het ontoereikende update-beleid van Android. Toestellen worden vaak minder dan twee jaar ondersteund en krijgen (als ze nog wel bijgewerkt worden) pas heel laat - afhankelijk van de fabrikant en provider - de updates binnen. Als er lekken in omloop zijn die misbruikt worden dan kan dit rampzalige gevolgen hebben. Voor de Consumentenbond was dit reden om de actie Updaten! te beginnen om fabrikanten van Android-telefoons te manen tot langere en betere ondersteuning van de toestellen.

Hoewel het StageFright-lek nog niet actief misbruikt lijkt te worden, kun je totdat er een update voor je Android-telefoon komt - en als je het zekere voor het onzekere wilt nemen - wel iets doen om je kwetsbaarheid te verkleinen.

1. Schakel het automatisch downloaden van MMS-berichten uit
In Nederland gebruikt bijna niemand meer MMS (multimediaberichten is SMS), maar doordat MMS-berichten standaard automatisch opgehaald worden en video's daarin automatisch (op de achtergrond) geladen worden, kun je zonder zelf iets te doen al besmet raken als kwaadwillenden je telefoonnummer weten (of via adresboeken van besmette telefoons schadelijke berichten doorgestuurd worden) .

Om automatisch downloaden van MMS-berichten uit te schakelen ga je in je SMS-app (meestal Berichten genaamd) naar Instellingen | Multimediaberichten (MMS)  en haal je het vinkje weg bij (of zet je uit): Automatisch ophalen. (Omdat er zoveel verschillende Android-telefoons zijn kan de exacte bewoording en menu-instellingen variëren, maar zet in ieder geval automatisch ophalen MMS uit).

Als je een andere SMS-app gebruikt kun je bij anti-virus producent avast instructies vinden hoe je het automatisch downloaden kunt uitschakelen.

2. Zet automatisch downloaden video uit in WhatsApp

Ga in WhatsApp naar Instellingen | Chatinstellingen |  Media automatisch downloaden en klik op Wanneer verbonden met Wi-Fi en zonodig Bij gebruik mobiel netwerk en haal het vinkje weg bij Video's.

Andere apps die video afspelen
Het gevaar van het StageFright-lek is hiermee niet geheel afgewend aangezien elke schadelijke video tot besmetting kan leiden - ook als deze via andere apps geopend worden. Wel kun je op bovenstaande manieren automatische besmettingen voorkomen. Verder geldt het (waardeloze) advies dat je op je Android-toestel moet uitkijken met filmpjes uit onbekende, verdachte bron en op onbekende verdachte websites. Wat betreft Android-browsers lijkt Firefox het lek al gedicht te hebben (bron: Wikipedia).

Hoewel Android-tablets nergens specifiek genoemd worden lijken deze ook kwetsbaar te zijn - alleen hebben ze geen SMS en WhatsApp aan boord. Maar via andere apps zou het StageFright-lek ook uit te buiten moeten zijn.

En nu maar hopen dat de updates voor je Android-toestel op tijd komen voordat het lek op grote schaal wordt uitgebuit (en dat je toestel überhaupt een update krijgt). Hoopgevend is wel dat Google, Samsung en LG aangekondigd hebben met maandelijkse beveiligingsupdates voor Android te komen. Zo vindt de maandelijkse 'patch tuesday' van Microsoft nu navolging in de Android-wereld...

> Controleer of je Android-toestel kwetsbaar is met de StageFright Detector App van Zimperium

Reageer

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • <img> elements are lazy-loaded.
Controlevraag tegen spam
ivoork_st