Мультимедийный движок Stagefright, который широко применяется в устройствах на базе операционной системы Android, содержит критические уязвимости. Специалисты по информационной безопасности из команды Zimperium сообщают, что они могут стать потенциальной угрозой для большинства смартфонов на Android.

Специалисты нашли семь уязвимостей, позволяющих удаленно взломать до 95 процентов Android-устройств. Для этого злоумышленникам достаточно знать телефонный номер жертвы и отправить на него мультимедийное сообщение (MMS). При этом, для успеха не требуется, чтобы пользователь прочел сообщение и запустил прилагаемый файл - достаточно, чтобы MMS было принято смартфоном.

По оценке экспертов Zimperium, на некоторых старых смартфонах взломщики получат полный доступ с администраторскими правами. В других случаях уязвимость может дать им доступ к микрофону и камере, позволяя следить за жертвой.

Команда отправила в Google необходимые патчи для исправления ошибок. Они были высланы в апреле и в начале мая 2015 года. В Google патчи установили в актуальную версию Android, которую затем разослали компаниям-производителям устройств. Но поскольку производители медленно выпускают обновления прошивки, до 95 процентов смартфонов остаются уязвимыми к атакам. Однако нужные апдейты уже установлены в Google Nexus 6 и смартфон Blackphone компании Silent Circle. Также атакам не подвержены устройства, использующие старые версии Android (до 2.2).

Кроме того, уязвимость затронула браузер Mozilla Firefox (версии для Android, Windows и Mac) и операционную систему Firefox OS, поскольку в них использовалась версия Stagefright. Патч к ним добавили в майском обновлении.