Brzmi to fatalnie dla użytkowników smartfonów z systemem Google'a, a firma Zimperium, która wykryła tę lukę, zapewnia, że to najpoważniejszy błąd w zabezpieczeniach w Androidzie spośród dotąd opisanych. Wystarczy, że atakujący haker wyśle na nasz telefon spreparowaną wiadomość MMS, a będzie mógł uzyskać dostęp do danych na komórce.
Sprawa dotyczy smartfonów z systemem Android od wersji 2.2, aż do najnowszej Lollipop. Google zapewnia, że dziura już została załatana, jednak zanim wszystkie telefony zostaną zaktualizowane może minąć wiele czasu. Do niektórych aparatów aktualizacja przez sieć komórkową może nie dotrzeć wcale.
Według amerykańskiej firmy Zimperium Mobile Security zawartość wiadomości multimedialnej może odwoływać się do usługi Androida o nazwie Stagefright. To podprogram, który przygotowuje pobrane z sieci pliki (w tym konkretnym przypadku chodzi o film wideo) do uruchomienia, zanim użytkownik o tym sam zadecyduje - dzięki czemu krócej czeka na rozpoczęcie odtwarzania. Ale to automatyczne działanie może zostać wykorzystane w złośliwy sposób. Spreparowany plik udający film uzyskuje w ten sposób dostęp do zawartości pamięci.
Eksperci twierdzą, że może on również uzyskać dostęp do mikrofonu i kamery. Może być zatem użyty do szpiegowania użytkownika, a także do wykradania danych. Co więcej, złośliwy program może bez wiedzy użytkownika usunąć spreparowaną wiadomość MMS która posłużyła do ataku, zacierając za sobą ślady.
„Atakujący potrzebują jedynie twojego numeru telefonu. Później wykonują kod dostarczony przez przygotowany plik multimedialny dostarczony przez wiadomość MMS. Dobrze przygotowany atak może nawet sam skasować taką wiadomość zanim ty ją zobaczysz" - piszą eksperci Zimperium na firmowym blogu. „Ta luka jest niezwykle niebezpieczna, ponieważ nie wymaga żadnego działania ze strony ofiary. W przeciwieństwie na przykład do phishingu, który wymaga od ofiary ataku otwarcia jakiegoś pliku. Tu złośliwa zawartość może być aktywowana podczas gdy ty śpisz. A zanim się obudzisz, haker usunie ślady ataku pozostawiając cię ze splądrowanym telefonem".
