Man, man, man, de Stagefright bug blijkt hardnekkig te zijn. Acht dagen nadat het lek werd afgedicht is het nog steeds mogelijk om de telefoons over te nemen.
De Stagefright bug werkt op basis van de lekker ouderwetse MMS, het SMS-je waarin je multimediabestanden kunt versturen. Android downloadt die bestandjes altijd vanzelf en controleert niet of de bestanden geïnfecteerd zijn. En zo kan het gebeuren dat je telefoon door een besmet filmpje van een hacker wordt overgenomen.
Ruim een week geleden brachten Google, verschillende telefoonfabrikanten als Samsung en allerlei providers al snel een update uit om het lek te dichten, maar het blijkt niet te hebben geholpen. De onderzoekers van Exodus Intelligence hebben het toch voor elkaar gekregen om een gepatchte telefoon te laten crashen door er een bewerkt videobestand naar te versturen.
Google is er dit keer als de kippen bij om te vertellen dat ze in de maandelijkse security-update een nieuwe patch zullen brengen voor het probleem. Laten we voor de Androidgebruikers hopen dat het nu wel definitief dicht is.
Dit is de grootste clusterfuck uit de gehele IT geschiedenis. Het probleem wordt zwaar onderschat en zou zelfs het einde van Android kunnen betekenen. Klinkt ver gezocht maar is het echt niet.
Hoe je het ook went of keert het aantal devices dat nooit zal worden gepatcht is schrikbarend. In 2014 waren er ongeveer 1,6 miljard Android devices. Stel dat de helft een patch krijgt, wat denk ik al een optimistische schatting is, dan blijven er nog 800 miljoen kwetsbare devices over. Dat lijkt me een interessante doelgroep.
In no time zal een exploit worden aangeboden op Exploit Exchanges (marktplaatsen voor expoits) en door bedrijven als VUPEN, Netragard, Endgame, Northrop Grumman, Raytheon, etc. Eerst voor prijzen die alleen overheden kunnen betalen maar als de prijs zakt dan raakt de poep de ventilator.
Door via een advertentie netwerk een video te laten afspelen kunnen heel snel miljoenen apparaten worden geinfecteerd. Het stelen van bankgegevens wordt krijgt dan het stempel “vervelend”. Het kan nog veel erger.
Pas echt erg wordt het als iemand een DDOS aanval gaat uitvoeren op het GSM newtwerk. Het GSM netwerk heeft een beperkte capaciteit. Kijk maar wat er gebeurd op 31 december om 12 uur. Providers hebben dan maar één optie. Oude devices weren van het netwerk.
Mensen moeten dan verplicht een nieuwe telefoon aanschaffen. Door de negatieve media aandacht is er een kans dat een groot deel dan echt geen Android telefoon meer is.
Nu deze patch ook niet goed werkt stapelt het probleem zich nog meer op.
Tja vrij simpel mensen stap over op IOS heb je dit soort gezeik niet 😉
Tmobile heeft al een oplossing. Het is eigenlijk heel simpel. MMS blokkeren en de mogelijkheid geven om ze online te bekijken. Of andere providers dit al gedaan hebben weet ik niet. Makkelijke beslissing gezien niemand toch ooit MMS gebruikt