Над пользователями смартфонов под управлением системы Android нависла новая опаснейшая угроза – их аппарат может быть скомпрометирован через одно только видеосообщение, отправленное с незнакомого номера. Сотрудники компании Zimperium, которая занимается вопросами безопасности, обнаружили уязвимость, позволяющая злоумышленникам заполучить контроль над устройством, на которое было отправлено мультимедийное сообщение с вредоносной видеозаписью. Сама уязвимость скрывается в Stagefright, инструмент для воспроизведения медиа в Android.
Самое удивительное во всем этом то, что активация процесса загрузки видеоролика, содержащего вредоносный код, может проходить без малейшего вмешательства со стороны пользователя, в зависимости от используемого пользователем мессенджера. Хотя предустановленное приложение для обмена сообщениями само по себе не выполняет никаких операций, пока пользователь не увидит сообщение, функция предварительной обработки вложенного медиаконтента в Hangouts подвергает пользователей еще до момента получения уведомления о новом входящем сообщении.
В Google уже осведомлены о существовании данной уязвимости и уже отправили своим аппаратным партнерам соответствующее исправление, устраняющее данную уязвимость. Тем не менее, успешное получение данного обновления конечными пользователями напрямую зависит от производителя их смартфона. Компания Zimperium сообщила Forbes, что Nexus 6 (предположительно и другие устройства семейства Nexus) и Blackphone уже защищены от взлома с использованием некоторых из обнаруженных специалистами Zimperium уязвимостей. К слову, сами уязвимости, как сообщается, являются самыми опасными из когда-либо обнаруженных уязвимостей в Android. Тем не менее, по оценкам Zimperium около 950 млн. устройств на Android по-прежнему остаются подвержены риску взлома через данную уязвимость. Это как старые, так и новые смартфоны от Samsung, HTC и других аппаратных партнеров Google. Пока также не ясно, намерены ли эти компании выпускать соответствующие исправления для относительно новых моделей в разумные сроки, или не таковых планов у них вообще нет. (Zimperium/NovostIT)