Bezpečnostní chyba Stagefright dostala svůj název podle stejnojmenné knihovny, která v operačním systému Android zajišťuje přehrávání multimediálních souborů, jako jsou zvuky nebo videa. Doručené zprávy se v mnohých aplikacích typu Hangouts nebo Messenger načítají dopředu, aniž by je uživatel přečetl, takže pro otevření škodlivého kódu stačí útočníkovi pouze zaslat oběti zprávu se škodlivým obsahem.

Bug objevila bezpečnostní společnost Zimperium zLabs, která ji označila jako Stagefright 2.0. První generace zrádné chyby se objevila již dříve v letošním roce a zasáhla všechna zařízení s operačním systémem Android 2.2 Froyo a novějším. Tehdy stačilo pouze přijmout speciálně upravenou MMS zprávu a zařízení bylo ihned infikováno. Někteří operátoři z tohoto důvodu dokonce dočasně zablokovali zprávy s audiovizuálním obsahem, aby zamezili šíření nákazy.

Nový druh chyby Stagefright 2.0 je mnohem zrádnější, jelikož se zranitelnost týká všech verzí systému Android od jeho první verze z roku 2008. Bug tedy může zasáhnout všechna Android zařízení, ať už se jedná o chytré telefony nebo tablety. Podle posledních statistik je ve světě přes 1,4 miliardy aktivních Android přístrojů. Tentokrát se škodlivý kód šíří přes MP3 a MP4 soubory, které jsou odeslány na Android zařízení. Uživatel je nemusí ani otevřít, Android si načte potřebná metadata souboru a je vymalováno. Jakmile je systém infikován, útočník v něm může spustit libovolný kód.

Problém je možné vyřešit updatem systému Android, nicméně mnoho uživatelů, kteří mají zařízení se starým Androidem, se k aktualizaci ani nedostane. Těm nezbývá nic jiného, než ke čtení a psaní zpráv využívat jen nativní aplikace a zprávy od neznámých odesílatelů okamžitě mazat.

Zimperium zLabs nahlásil chybu společnosti Google již 15. srpna. Jakmile budou připraveny patche pro všechna zařízení, Zimperium rovněž zaktualizuje svou aplikaci Stagefright Detector, aby si mohli uživatelé ověřit, zda je jejich zařízení infikováno. Více informací najdete na blogu Zimperium.