icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Wat is Stagefright?

Op 21 juli 2015 werd bekend dat Android een groot lek heeft dat internetcriminelen ongemerkt toegang kan geven tot je smartphone.

   Gepubliceerd op:3 augustus 2015

Net als orkanen krijgen grote lekken tegenwoordig een naam. Het lek dat internetcriminelen toegang kan geven tot je Android-toestel heet Stagefright. Op dit moment zijn vrijwel alle Android-toestellen in de winkel kwetsbaar en wachten fabrikanten te lang met een hoognodige software-update.

Veel Android-smartphones onveiligHet gaat om een lek in het hart van Android, namelijk een onderdeel dat plaatjes en video's afspeelt. Het lek is op vele manieren te misbruiken. In elk geval is bekend dat internetcriminelen een MMS-bericht met een speciale video kunnen sturen waardoor ze volledige toegang krijgen tot de telefoon. Vervolgens is het mogelijk om malware op de telefoon te installeren om zo wachtwoorden of bankcodes te stelen.

Sinds het lek in juli publiekelijk bekend werd, hebben Google en fabrikanten van Android-toestellen beloofd het lek te dichten. Een aantal partijen heeft ook beloofd hun beleid ten aanzien van het updaten van Android te verbeteren. Maar door de gebrekkige informatie die fabrikanten geven is het moeilijk een overzicht te krijgen welke toestellen een reparatie hebben ontvangen en welke toestellen deze nog kunnen verwachten. Waarschijnlijk zullen de fabrikanten de populaire en dure top-modellen niet overslaan. Maar het is de vraag of minder nieuwe budget-modellen ook een software-update krijgen.

Waarom is Stagefright zo erg?

Het ene lek is het andere niet. Sommige lekken zijn moeilijk om uit te buiten, of zijn alleen schadelijk voor software die bij weinig mensen in gebruik is. Voor Stagefright geldt echter dat enorm veel Android-toestellen gevoelig zijn voor het lek, het eenvoudig te misbruiken is, en dit kan ook nog eens ongemerkt. Een bijkomend probleem; het dichten van het lek door een update te installeren is bij Android problematisch. De meeste fabrikanten van Android-toestellen zorgen niet of slecht voor de updates en reparaties die noodzakelijk zijn om het toestel veilig te houden.

Is mijn telefoon kwetsbaar?

Op dit moment zijn waarschijnlijk alle Android-smartphones die werken met versie 2.2 tot en met 5.1.1 kwetsbaar. Het betreft 90% van de verkochte toestellen. Volgens Google zijn toestellen vanaf versie 4.4 'waarschijnlijk' bestand tegen het lek omdat Android vanaf die versie extra maatregelen in het geheugenbeheer bevat die het uitbuiten van het lek bemoeilijken.

Alleen de relatief kleine en minder bekende fabrikant Silentcircle heeft bekendgemaakt dat voor hun 'Blackphone' het lek inmiddels echt gedicht is. Ook Google heeft bekendgemaakt dat ze voor hun eigen Nexus-toestellen het lek dichten, maar dat gaat in Nederland slechts om een handvol toestellen. 

Het bedrijf dat het Stagefright-lek heeft ontdekt en bekendgemaakt (Zimperium) heeft een app gemaakt waarmee je de kwetsbaarheid van je telefoon kunt testen. De app kan gedownload worden uit de Google App Store (Stagefright Detector App). Gebruik voorlopig alleen deze app en geen soortgelijke die de komende tijd mogelijk op internet worden aangeboden. Het is belangrijk de laatste versie van de Stagefright Detector te gebruiken.

De app repareert niets, het is alleen een test. In de meeste gevallen zal de uit de test blijken dat je telefoon kwetsbaar is. De app kan niet zien of de telefoon eventueel al besmet is met malware of dat op een andere wijze misbruik is gemaakt van het Stagefright-lek.

Wat zijn de gevolgen voor mij?

Als je telefoon kwetsbaar is, dan is een te ontvangen MMS-bericht voldoende om het lek te misbruiken. Je merkt er niets van. Na het misbruik van het lek kan een internetcrimineel de sporen van het bericht wissen, en tóch de toegang tot het toestel behouden. Bovendien komen er nog vele andere manieren aan het licht waarmee het lek is uit te buiten. In principe geldt dat een Android-telefoon met het Stagefright-lek niet meer als veilig kan worden beschouwd. Alleen een software-update kan het toestel weer veilig maken.

Hoe kan ik mijzelf beschermen?

Zonder een software-update wordt het heel moeilijk om je telefoon te beschermen. Je kunt het ontvangen van MMS-berichten blokkeren of het automatisch openen van videobestanden uitzetten. Maar dat helpt slechts tegen een specifieke manier om het lek te misbruiken. De fout is daarmee nog niet verholpen en er zijn al andere methoden gemeld waarmee het lek kan worden uitgebuit. Bijvoorbeeld door op een foute link te klikken.

Inmiddels zijn mobiele aanbieders begonnen om hun MMS-dienst aan te passen om het risico van besmetting met malware te verkleinen.

Hoe krijg ik updates?

Google heeft een reparatie voor het lek gemaakt die beschikbaar is voor alle fabrikanten van Android-smartphones. Zij kunnen de software reparatie als een update naar de telefoon sturen. Fabrikanten, zoals Samsung, LG of Sony, passen de Android-software naar eigen inzicht aan en zijn ook verantwoordelijk voor het doorgeven van de reparaties die Google heeft gemaakt.

Een veel kleiner aantal Android-toestellen worden door de mobiele aanbieder onder eigen merk verkocht, in dat geval maakt de aanbieder ook nog aanpassingen, en verzorgt de provider dus de updates. In de praktijk sturen veel fabrikanten alleen updates voor de nieuwste en best verkochte toestellen. Oudere toestellen en hun gebruikers worden aan hun lot overgelaten. Consumenten zijn voor de veiligheid van hun Android-telefoon meestal afhankelijk van de telefoonfabrikant en - op een enkele uitzondering na - falen de fabrikanten volledig.

Google en Samsung hebben initiatieven bekendgemaakt om het Stagefright-lek te dichten. Volgens Google zou het lek in veel toestellen nog in augustus gedicht worden. Bovendien heeft Samsung aangekondigd dat ze voortaan elke maand software updates gaan versturen. Het is afwachten of deze beloften ook worden waargemaakt.

Echter, in augustus bleek ook dat de oorspronkelijke reparatie van Google het probleem niet helemaal verhielp. Daarom moest er een betere update komen. Volgens Google zou die update in september worden verstuurd. Kortom: veel pleisters maar helaas weinig concrete informatie.

Waar moet ik op letten wanneer ik nu een Android-telefoon koop?

Android-winkel_900x6002Op dit moment zijn vrijwel alle Android- toestellen in de winkel kwetsbaar. Pas na een update zal het lek gedicht zijn. Helaas duurt het lang omdat fabrikanten of telecomproviders traag zijn met het uitbrengen van deze updates. Wie niet wil wachten op fabrikantondersteuning of telecomproviderondersteuning kan het beste een telefoon kopen waarbij de fabrikant of telecomprovider geen of weinig aanpassingen doet.

In elk geval raden we het gebruik van een Android-versie lager dan 4.4 af. Dat geldt zowel voor telefoons als voor tablets. Versies lager dan 4.4 hebben - behalve Stagefright - ook nog eens last van andere problemen op het gebied van veiligheid, zoals Webview, een onderdeel van Android waarvoor Google geen updates meer maakt. Vanaf 4.4 is Webview verwijderd.

Lees hier meer kooptips voor de aanschaf van een Android-telefoon. 

Zijn de iPhone en Windows Phone ook kwetsbaar?

De iPhone en Nokia Lumia of Microsoft Lumia telefoons zijn niet kwetsbaar voor het Stagefright-lek. Dit wil niet zeggen dat er geen lekken kunnen bestaan in deze telefoons. Alle systemen hebben last van veiligheidsproblemen, maar het Stagefright-lek voor Android is een lek van tot nu toe ongekende omvang. Bovendien zorgen Apple en Microsoft beter en sneller voor updates van hun mobiele telefoons.

Wat doet de Consumentenbond?

De Consumentenbond vindt dat fabrikanten van Andoid-telefoons hun verantwoordelijkheid moeten nemen en ervoor moeten zorgen dat toestellen veilig blijven met behulp van updates. Dat geldt zeker voor Stagefright, omdat het een heel ernstig lek is dat ook nog eens zeer veel toestellen betreft.

Daarom is de Consumentenbond in juli gestart met de campagne 'Updaten!' waarin we fabrikanten oproepen te zorgen voor veilige en up-to-date smartphones. Inmiddels hebben meer dan 15.000 consumenten de oproep ondertekend.

De Consumentenbond gaat het updaten van het Stagefright-lek in de gaten houden en waar nodig fabrikanten wijzen op hun verplichtingen richting klanten. Daarbij is het belangrijk dat niet alleen de dure top-modellen van het vernieuwde update beleid profiteren.

Lees ook: