Většina bezpečnostních chyb má společnou jednu věc: aby je útočníci mohli zneužít, potřebují k tomu aktivní „spolupráci“ své oběti – ta musí například stáhnout či otevřít infikovaný soubor, nebo aktivně vykonat jinou akci, která vpustí hackera dovnitř.
Chyba využívající multimediální knihovnu Stagefright v Androidu je ale nebezpečná hlavně kvůli tomu, že se dá zneužít i bez aktivní účasti uživatele, třeba i v době, kdy telefon sám aktivně nepoužívá. Útočníkům k proniknutí do zařízení stačí jen znát jeho telefonní číslo.
Na to mohou poslat MMS obsahující speciálně upravený mediální soubor a je hotovo. „Plně připravený úspěšný útok dokonce může zprávu smazat dříve, než ji uživatel přečte. Zůstane jen upozornění na její doručení,“ upozorňuje Joshua J. Drake ze Zimperium Mobile Security, který chybu objevil.
Úspěšný útok může dát hackerovi vládu nad řadou funkcí a aplikací v zařízení – například nad mikrofonem či kamerou. Může ale získat i úplný přístup k telefonu. Další podrobnosti o chybě chce Zimperium zveřejnit začátkem srpna na amerických konferencích Black Hat USA a DEF CON 23.
Záplaty jen pro někoho
Podle bezpečnostní firmy jsou chybou ohroženy všechny přístroje s Androidem 2.2 a vyšším. Nejvyšší riziko přitom nesou mobily s verzí starší než Android 4.2 Jelly Bean (jde asi o 11 % zařízení).
Firma na problém upozornila Google a zároveň mu navrhla vlastní záplaty, které jej mají řešit. Google podle ní zareagoval bleskově a do 48 hodin nasadil ve svých vnitřních systémech. Jenže to zdaleka nestačí.
Google totiž neumí záplatovat operační systémy ve všech zařízeních s Androidem. Může leda tak vyzvat výrobce a operátory, aby patche poslali do telefonů svých zákazníků. To ale může trvat a na starší zařízení se oprava ani nemusí dostat.
Jedinou obranou uživatelů tak může být podle některých zdrojů zákaz automatického stahování příloh z MMS, nebo zákaz automatického příjmu MMS jako takových (například v Hangouts).
