צוות של חוקרי אבטחה ניידים טוען שכ-950 מיליון סמארטפונים וטאבלטים של אנדרואיד ברחבי העולם נתונים לפגיעות קריטית. לפי הדיווח שלהם, תוקפים יכולים להשתמש בפגיעות זו, המכונה Stagefright על שם מקור הבעיה, כדי להשתלט על המכשיר שלך באמצעות MMS זדוני.
נראה כי הפגיעות נגרמת על ידי קוד לא מאובטח הכלול בתוך Stagefright, שהייתה ספריית המולטימדיה של אנדרואיד מאז יציאת אנדרואיד 2.2 FroYo במאי 2010. מכיוון ש-Stagefright נעשה שימוש עבור כל כך הרבה גרסאות אנדרואיד, החוקרים טוענים כי 95% מכלל מכשירי האנדרואיד כרגע שם בחוץ מראה את הפגיעות הזו, אבל מכשירים המריצים גרסאות טרום-Jelly Bean של אנדרואיד, או כ-15% ממכשירי האנדרואיד הפעילים, הם הפגיעים ביותר. החוקרים שגילו את הפגיעות טוענים ש'Stagefright' היא "הפגיעות הגרועה ביותר של אנדרואיד [sic] שהתגלתה עד כה".
על פי חוקרים ב-Zimperium Mobile Security, תוקפים יכולים לגרום למכשיר אנדרואיד לבצע קוד מרחוק על ידי שליחת MMS שמערכת אנדרואיד מאמינה שהוא מכיל סרטון. בחלק מהתרחישים הפגיעים ביותר (מכשירים המריצים גרסאות אנדרואיד לפני Jellybean), המשתמש אפילו לא צריך לפתוח את ה-MMS כדי שהפריצה תעבוד, ותוקפים מיומנים יכולים גם להסיר את ה-MMS לאחר שהנזק נגרם.
במילים אחרות, אתם יכולים ללכת לישון לילה אחד, וכשתתעוררו, כל מה שתבחינו בו הוא התראה על הודעת מולטימדיה שלא נקראה שנמחקה בינתיים. מבלי שאתה יודע זאת, תוקף יכול היה לקבל גישה למצלמות, למיקרופון ולנתונים רגישים אחרים. למרבה המזל, בשל האופן שבו אנדרואיד מארגנת אפליקציות, הפגיעות לא חושפת את כל הנתונים שלך, אבל עדיין נזק רב עלול לנבוע מניצול כזה.
Zimperium לא שיתפה את כל הפרטים בנוגע לפגיעות ה-Stafright של אנדרואיד, אבל צוות החוקרים הבטיח לדון בבאג בפירוט בכנס Black Hat USA ב-5 באוגוסט וב-DEF CON 23 ב-7 באוגוסט. החוקרים אכן השאירו אותנו עם ניצוץ אחד של תקווה, בטענה שאין עדות לכך שהפגיעות מנוצלת על ידי מישהו עד כה.
לפי Zimperium, גוגל מיהרה להמציא תיקון לפגיעות לאחר שהודיעה על קיומו של הקוד הפגיע. אבל כפי שזה קורה לעתים קרובות, גוגל נותרת חסרת אונים עם פריסת התיקון למכשירים פגיעים. למעט מכשירי Nexus ו-Google Play Edition, גוגל לא מסוגלת להשיק תיקונים ישירות. יצרני וספקי התקנים הם אלה שאחראים על השקת עדכוני תוכנה, והניסיון אומר לנו שחברות מסוימות יכולות לקחת לא מעט זמן להשיק תיקונים אפילו עבור הפגיעויות המשמעותיות ביותר.
יש לקוות שיצרניות וספקיות מכשירי אנדרואיד יזהו את חומרת הפגיעות הזו וימהרו להשיק את התיקון לבאג/האק/ניצול החדש של Stagefright.
