Én bildemelding tar ut mobilen

MMS-SKREKK: Et hull i Android-komponenten Stagefright kan åpne telefone for angrep og fjernkontroll ved hejlp av en MMS_melding. Illustrasjon: Skjermdump.

Én bildemelding tar ut mobilen

Android-smarttelefoner har et sikkerhetshull der en riktig formatert bildemelding eller mediefil knekker den.

Har en cracker mobilnummeret ditt, en riktig formatert MMS og din nysgjerrighet kan han ta over smartmobilen.

Sikkerhetsforskere hos Zimperium har funnet et sikkerhetshull i komponenten «Stagefright» i Android-kjernen.

Full kontroll via melding

Hullet gjør det mulig for en angriper å kjøre fiendtlig kode direkte inn i smarttelefonen. Slik skadevare kan være alt fra spionprogramvare til fjernkontroll av smarttelefon.

– Det er flere mulige angrepsmetoder på grunn av måten Android håndterer mediefiler uansett kilde, forteller Joshua Drake, direktør for undersøkelser og sårbarheter i plattformer i Zimperium, til PC World US.

Sceneskrekk-navnet til tross, så er dette en komponent i OS-et som brukes til å håndtere, spille av og ta opp multiemediefiler. Siden dette er en kjernekomponent er det sannsynlig at de fleste apper som håndterer mediemeldinger eller mediefiler i en Android-mobil bruker komponenten.

Angrep uten spor

Håndteringen innebærer også å hente ut metadata som dato og bilder per sekund, eller for å lage småikoner til presentasjon av innhold. Dermed vil det holde å lagre en infisert mediefil i telefonen for å kunne knekke hele sikkerheten i telefonen.

– En angriper kan sende en MMS midt på natta når de fleste har smartmobilen i stille modus. Etter at Android har kvernet MMS-meldingen ferdig er mobilen infisert og fjernkontrollert, og MMSen kan slettes uten spor og uten at eier/bruker veit at smartmobilen er infisert, forklarer Drake.

Google, som kontrollerer Android-kjernen, fikk kjennskap til sårbarheten i vår. I mai fikk de også de nødvendige tettingene fra Drake og teamet hans ved Zimperium.

Alle Android-varianter fra 2.2 og nyere er rammet.

Treg oppdatering

Selv om oppdateringer er tilgjengelig, tar det votter og vintre før slike oppdateringer er ute på alle Android-enheter. Drake anslår at 95 prosent av alle Androider kan fortsatt kan være i faresonen.

Antallet som kan rammes av et angrep kan dermed være uhåndterlig digert.

Android har i flere år vært verdens mest brukte smartmobil-OS, og i fjor ble det solgt over én milliard smarttelefoner som kjører Android i verden. I år ligger det an til å bli solgt et par hundre millioner til.

I Norge ble det sendt 173 millioner MMS i fjor, opp fra 143 millioner året før. Dette rapporterer Nkom (tidligere PT, Post- og Teletilsynet).

Inntil hullet tettes og oppdateringer rulles bør mottak av MMS eller avspilling av nye mediefiler i mobilen håndteres med største forsiktighet, om i det hele tatt.