Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/7/2015
Angribere kan inficere en Android-telefon ved at sende en MMS-besked til den. Det skyldes sikkerhedshuller i Androids behandling af multimediaindhold.Sikkerhedsforskere har fundet syv sårbarheder i modulet Stagefright, der indgår i Android. Modulet kan vise video og behandle andre former for multimediadata.
MMS (Multimedia Messaging System) gør det muligt at sende multimediaindhold til en mobiltelefon. Angribere kan udnytte sårbarhederne via MMS: De kan sende en besked til offeret med vedhæftet multimediaindhold, der udnytter sårbarhederne.
Som udgangspunkt indeholder en MMS-besked kun et link til multimediaindholdet. Selve indholdet hentes først, når brugeren beder om at se det. Men mange MMS-apps henter automatisk indholdet, så snart beskeden er modtaget. Derfor kan brugerens enhed blive inficeret, hvis den bare modtager en MMS-besked.
Google har udsendt rettelser, der lukker hullerne, til producenterne af Android-baserede telefoner. Derefter er det op til producenterne at sende opdateringerne ud til de berørte enheder.
Sikkerhedsforskerne fra firmaet Zimperium anslår, at 95 procent af alle de godt en milliard Android-enheder i verden er sårbare.
Anbefaling
Indtil fejlen bliver rettet, kan man mindske risikoen ved at indstille MMS-appen til ikke at hente MMS-beskeder, før man beder om det.
Fjern fluebenet ud for Automatisk hentning under MMS-beskeder i Indstillinger.