Een ernstig beveiligingslek in Android maakt het mogelijk om toegang tot toestellen te krijgen door enkel een mms-bericht te versturen.

Het beveiligingsprobleem kwam maandag aan het licht. Met behulp van een malafide video kan een aanvaller toegang krijgen tot een Android-systeem. De kwetsbaarheid bevindt zich in het Android-onderdeel Stagefright, een mediabibliotheek die verschillende populaire mediaformaten verwerkt. Beveiligingsbedrijf Zimperium ontdekte de kwetsbaarheid.

De een aanvaller kan waarschijnlijk video’s met malware serveren, wat een populaire manier is om malware te verspreiden. Beveiligingsonderzoekers hebben al aangekondigd volgende week een exploitcode vrij te geven voor de gevaarlijke bug. Daarmee wordt misbruik van de exploit een fluitje van een cent.

Veel toestellen zijn nog kwetsbaar, maar Google stelt dat patches voor het beveiligingsprobleem al beschikbaar zijn, en dat die door fabrikanten kunnen worden uitgerold. In Android 5.1 zou de bug gepatcht zijn, Nexus-toestellen zijn in dat geval veilig. Veel toestellen hebben deze versie echter nog niet.

Volgens schattingen zouden 950 miljoen Android-toestellen risico lopen. Google wijst er wel op dat een aanvaller geen onbeperkte rechten heeft, omdat Android apps in een sandbox laat draaien.