A Zimperium nevű biztonsági cég olyan androidos sebezhetőséget talált, amivel egyetlen üzenettel átvehető az irányítás az okostelefonok felett. A hiba a Stagefright nevű beépített médialejátszóban van, kihasználásával teljesen ellenőrizhető a telefon, lophatók a jelszavak, banki adatok is.
A cég azt mondta az NPR-nek, hogy a hibát valószínűleg még nem használták ki hekkerek, viszont blogposztjuk szerint az androidos telefonok 95 százaléka érintett, ami rengeteg telefont jelent. 2014-ben több mint egymilliárd Androidot futtató telefont adtak el világszerte, 2015-ben pedig ennél is többet. A cég ezért „minden androidos sebezhetőségek anyjának” nevezte el a hibát.
A biztonsági cég még áprilisban fedezte fel a hibát, és értesítették a Google-t. A Google szóvivője azt mondta, azonnal javítást készítettek, arról viszont nem beszélt, hogy már el is jutott-e a javítás a felhasználókhoz.
Videóüzenetnek álcázzák
A kártékony kódot rövid videóban rejthetik el a támadók, amit videóüzenetben küldhetnek el a kiválasztott telefonszámra. Ahogy az üzenet megérkezett, a Stagefright előkészíti a videót megnézésre, ezzel lehet átvenni az irányítást a telefon felett.
Jó védekezés lehet, ha valaki nem a beépített üzenetküldőt használja az üzenet megnyitására. Azok viszont, akik a Hangoutsot használják az sms-ek, mms-ek megnyitására is, még rosszabbul járhatnak: nem is kell megnyitniuk a videót, a rosszindulatú kód lefut magától.
A helyzetet rontja, hogy a biztonsági rés javítása nemcsak a Google-n múlik: a telefongyártók, például a Samsung, LG, Huawei és a szolgáltatók is szabályozhatják, hogyan frissítik a termékeiket. Ezért lehet, hogy a pár nap alatt javított hiba frissítése csak hónapok alatt jut el a felhasználókhoz.
A Zimperium az augusztus elsejei Las Vegas-i Black Hat hekkerkonferencián bemutatja a sebezhetőséget.