Dat melden onderzoekers van beveiligingsbedrijf Zimperium tegenover NPR. De details van het lek worden begin augustus tijdens beveiligingsconferentie Black Hat gedeeld.
Hackers hebben alleen het telefoonnummer van hun doelwit nodig om de kwetsbaarheid te misbruiken. Door code in een mms’je of een bericht op Google Hangouts te verstoppen kan de gehele telefoon worden overgenomen. De kwetsbaarheid zit in het systeem voor video’s.
Ongemerkt
Daardoor kan bijvoorbeeld in een video code gestopt worden, die in Hangouts automatisch wordt ingeladen. Zelfs als het hele bericht niet bekeken wordt, kan de controle over de telefoon worden overgenomen. Bij een mms moet het berichtje wel geopend worden, maar de gebruiker hoeft geen bestand te downloaden of op een link te klikken.
Hierdoor is het eenvoudig om onopgemerkt telefoons binnen te dringen zonder dat de gebruikers het merken. De hackers kunnen vervolgens onder meer data kopiëren, data verwijderen en de microfoon en camera overnemen en zo gesprekken afluisteren.
Volgens Zimperium worden vrijwel alle Android-telefoons geraakt. Het lek zou nog niet actief misbruikt worden. De onderzoekers hebben Google in april ingelicht en het bedrijf heeft een oplossing uitgerold naar fabrikanten.
Beveiligingsupdate
De vraag is echter hoeveel toestellen daadwerkelijke geüpdatet worden. Veel fabrikanten updaten oude toestellen niet meer. De onderzoekers schatten dat zo’n 20 tot maximaal 50 procent van de Android-apparaten een beveiligingsupdate zal krijgen. De rest blijft kwetsbaar.
Google erkent in het artikel van NPR dat slechts ongeveer de helft van de toestellen beveiligd zal worden. Het bedrijf wilde verder niet geïnterviewd worden, maar liet wel weten dat de kwetsbaarheid een hoge prioriteit heeft en dat partners ingelicht zijn over de ernst van de situatie. Of er al toestellen geüpdatet zijn met de oplossing is niet bekend.
Nog bijna de helft van de mensen gebruikt een Android-versie van voor oktober 2013.