Joshua Drake, specjalista ds. cyberbezpieczeństwa z firmy Zimperium, donosi o usterce w module Stagefright systemu Android, który odpowiada za odtwarzanie, edycję i tworzenie multimediów. Nazywa ją “największą luką bezpieczeństwa w historii Androida” i twierdzi, że jest gorsza nawet od Heartbleed.
Na dodatek, osoba z wiedzą o tej usterce może włamać się na cudzy telefon za pomocą odpowiednio spreparowanej wiadomości MMS, a więc w bardzo łatwy sposób. Może też osiągnąć ten sam efekt skłaniając ofiarę do odtworzenia odpowiednio spreparowanego filmu wideo na witrynie internetowej. Stagefright odpowiada nie tylko za odtwarzanie multimediów, ale również za generowanie miniaturek podglądu, pobieranie metadanych i innych informacji. To oznacza, że nawet podczas kopiowania takiego pliku z poziomu Androida można być zainfekowanym, bez konieczności odtworzenia takiego pliku.
Interakcja ze strony użytkownika nie jest wymagana. To oznacza, że włamywacz może wysłać nam MMS-a jak śpimy, wykonać za jego pomocą złośliwy kod celem przejęcia kontroli nad naszym urządzeniem i usunąć wiadomość, przez co nawet się nie dowiemy, że wydarzyło się coś nietypowego.
Luka bezpieczeństwa jest groźna na wiele sposobów w zależności od posiadanego przez nas telefonu. Z uwagi na to, że prawie każdy producent sprzętu z Androidem przerabia ten system na swoje potrzeby, niektóre urządzenia są nieco lepiej zabezpieczone. W większości z nich włamywacz uzyska dostęp do aparatu, mikrofonu i pamięci masowej. Zdaniem specjalisty, ponad połowa urządzeń da włamywaczowi pełną kontrolę.
Drake poinformował Google’a o problemie już w kwietniu, a nawet sam napisał łatkę usuwającą problem, którą gigant przyjął i umieścił w kolejce do implementacji w Androidzie. Niestety, znacznie gorzej idzie jej dystrybucja. Warto zauważyć, że tylko 12 procent telefonów z Androidem może pobrać najnowszą jego wersję (Lollipop). Zdaniem Drake’a, 950 milionów urządzeń nadal jest niezałatanych, w tym wszystkie Nexusy poza Nexus 6.