Mediaserver van Android bevat opnieuw kwetsbaarheid

Opnieuw blijkt de mediaserver van Android een kwetsbaarheid te bevatten. Met behulp van de kwetsbaarheid kunnen aanvallers eigen code uitvoeren op het niveau van de mediaserver, die onder andere toegang heeft tot internet, de camera en de microfoon van Android-apparaten.

Het beveiligingslek is ontdekt door Trend Micro en bevindt zich in het AudioEffect-deel van de Android-mediaserver. Het is de derde keer in korte tijd dat een kwetsbaarheid wordt aangetroffen in de mediaserver. Eerder bleken aanvallers in staat via een bug in de Stagefright library in staat te zijn code uit te voeren op Android-apparaten door een malafide video af te laten spelen. Met behulp van een andere bug in de mediaserver was het mogelijk een smartphone eindeloos te laten herstarten, waardoor het apparaat onbruikbaar werd.

Minder ernstig dan Stagefright

De onderzoekers noemen de kwetsbaarheid in de AudioEffect library minder ernstig dan de Stagefright bug, aangezien het lek alleen kan worden misbruikt vanaf een app. Deze app heeft echter geen speciale rechten nodig om zijn werk te kunnen doen. Indien het aanvallers lukt slachtoffers deze app te laten installeren kunnen zij toegang verkrijgen tot de microfoon, camera en internetverbinding van een getroffen apparaat. Dit maakt het mogelijk de microfoon af te luisteren en beelden op te slaan via de camera, die vervolgens via internet kunnen worden weggesluisd.

Trend Micro stelt dat de kwetsbaarheid inmiddels is gedicht, maar is in Android 5.1.1 vooralsnog aanwezig. Oudere Android-versies blijven kwetsbaar.

 
Meer over
Lees ook
Onderzoekers ontwikkelen betrouwbare exploit voor Stagefright bug

Onderzoekers ontwikkelen betrouwbare exploit voor Stagefright bug

Een groep Israëlische onderzoekers is erin geslaagd een betrouwbare exploit te ontwikkelen voor de Stagefright bug die vorig jaar in Android opdook. De implementatie van Stagefright wordt door de onderzoekers ‘Metaphor’ genoemd. Stagefright is een software library die in Android wordt gebruikt om video’s en andere media te verwerken. Deze library1

Ernstig XSS-lek aangetroffen in website van eBay

Ernstig XSS-lek aangetroffen in website van eBay

Een ernstige beveiligingslek is aangetroffen in eBay. Het gaat om een Cross-Site Scripting (XSS) kwetsbaarheid waarmee cybercriminelen hun eigen malafide code in de website van eBay konden injecteren. Hiermee konden aanvallers bezoekers van de legitieme website van eBay een malafide inlogscherm voorschotelen in een poging inloggegevens buit te mak1

Beveiligingsbedrijf biedt 1 miljoen dollar voor iOS-kwetsbaarheid

Beveiligingsbedrijf biedt 1 miljoen dollar voor iOS-kwetsbaarheid

Beveiligingsonderzoekers die een ernstige kwetsbaarheid weten te vinden in het iOS besturingssysteem van Apple kunnen hier fors aan verdienen. Zerodium, een beveiligingsbedrijf dat een exploit acquisition platform heeft ontwikkeld, biedt één miljoen dollar voor een exploit waarmee een aanvaller op afstand de volledige controle over een iOS-gebasee1