Что за StageFright 2.0?
Злоумышленник может спрятать вредоносный код в метаданные к mp3- или mp4-файлу. Такие файлы могут распространяться на пиратских сайтах, и если пользователь включит «зараженную» песню или запустит видео, вирус, содержащийся в метаданных, будет запущен, а хакер через открывшуюся уязвимость, сможет без ведома пользователя удаленно исполнять на его устройстве любые команды. Google присвоила обнаруженной Zimperium уязвимости номера CVE-2015-3876 и CVE-2015-6602.
Смартфоны, планшеты и прочие устройства, работающие на Android от версии 1.0 до версии 5.1.1. Теоретически хакеры могут взломать 100% Android-устройств.
А что на практике?
В действительности ни одно Android-устройство не подверглось атаке с использованием StageFright 2.0. Компания Zimperium не станет выкладывать подробную инструкцию с демонстрацией работы этой уязвимости, хотя предоставила ее Google.
И что сделала Google?
В этом месяце устройства Nexus получат патчи, устраняющие некоторые уязвимости, в том числе StageFright 2.0. На анонсированные на этой неделе смартфоны Nexus 5X и Nexus 6P установлена версия Android, в которую уже включены эти патчи.
Google также отправила патчи другим производителям смартфонов и планшетов, но далеко не все из них добросовестно относятся к постпродажной поддержке своих устройств. В прошлый раз уязвимость StageFright 1.0 была устранена только в новых моделях Samsung, HTC, Motorola, в некоторых устройствах Asus, Alcatel, Nvidia и в смартфоне OnePlus One.
Как избежать проблем?
До тех пор, пока производитель вашего устройства не выпустит очередное обновление безопасности (что может никогда не случиться), следует избегать посещения сомнительных сайтов и скачивания музыки и видео из непроверенных источников.
Все настолько плохо?
Уязвимости StageFright действительно опасные, но паниковать пока рано. Как только хакеры поймут, как их можно использовать — можно начинать волноваться. Зараженными потенциально могут оказаться более миллиарда устройств по всему миру.