Nově objevené díry v Androidu se nacházejí uvnitř procesů, jakými systém zpracovává mediální soubory. Uživatele jsou schopny přivést na škodlivé webové stránky. Týkají se přitom většiny zařízení, od těch, na nichž běží starý Android verze 1.0 až po ty s poslední 5.1.1.
Chyby odhalili odborníci ze společnosti Zimperium, zaměřující se na bezpečnost mobilních zařízení. Podle nich se nacházejí v procesu, jakým Android zpracovává metadata MP3 a MP4 souborů, přičemž zneužity můžou být v okamžiku, kdy se samotný systém nebo jiná aplikace závislá na systémových mediálních knihovnách, tyto soubory pokusí přehrát.
Zimperium už před několika měsíci upozornilo na podobnou chybu v knihovně, pro jejíž zneužití stačilo zaslat škodnou MMS zprávu, jejíž mediální obsah se v mnohých aplikacích automaticky spustil. Ani Stagefright, jak bylo riziko dle dotčené knihovny pojmenováno, však nemělo takový potenciální dopad, jako aktuálně objevený problém.
A to před pár týdny výrobce přiměl k zásadnímu kroku, kdy se Google, Samsung a LG na základě hrozby Stagefrightu zavázali k vydávní pravidelných měsíčních bezpečnostních aktualizací.
Jedna ze Zimperiem nově objevených děr se skrývá v knihovně s názvem libutils, s níž pracuje většina zařízení, na nichž běží Android starší než 5.0 (Lollipop), v kombinaci s jiným bugem, objeveným v rámci Stagefrightu, však může být zneužita i na zařízeních s novějším Androidem, tedy 5.0 – 5.1.1. I proto odborníci ze Zimperium nový objev pojmenovali Stagefright 2.0.
Podle nich může mít ještě výraznější dopad, týká se totiž víc než miliardy zařízení. Zatímco mnohé aplikace, jejichž prostřednictvím k ohrožení Stagefrightem mohlo dojít (např. Google Hangouts) už mají potřebné aktualizace, cestu Stagefrightu 2.0 otevírají internetové prohlížeče, respektive linky odkazující na škodlivé webové stránky.
V případě man-in-the-middle útoků však útočník vůbec nemusí spoléhat na důvěřivost uživatele. A chyba se dá zneužít i prostřednictvím mediálních či komunikačních aplikací, které pracují s dotčenou knihovnou.
Zimperium podalo zprávu o svém zjištění Googlu už v půli srpna a podle společnosti by v pondělí 5. října vydaná aktualizace Androidu měla obsahovat potřebný fix. Podle prohlášení Zimperia se však dá očekávat, že podobných děr vztahujících se k mediálním knihovnám Androidu se ještě několik objeví.
Společnost proto přislíbila, že už brzy aktualizuje svůj bezplatný Stagefright Detector, který chyby tohoto charakteru vyhledává.