Джошуа Дрейк, исследователь информационной безопасности из компании Zimperium, в августе этого года раскрыл детали касательно критической уязвимости в библиотеке для работы с файлами мультимедиа под названием Stagefright, находящейся в ядре мобильной операционной системы Android. Тогда исследователь заметил, что в перспективе могут быть обнаружены и другие проблемы, информацию о которых он и другие эксперты передадут команде безопасности Google.
Теперь исследователем обнародованы подробности, касающиеся двух новых уязвимостей в Stagefright. Первая брешь присутствует во всех версиях Android, а вторая – только в Android 5.0. Как утверждает эксперты, данными уязвимостями затронуто более миллиарда Android-устройств, то есть практически все, использующиеся в настоящее время. Представитель Google сообщил, что пользователи смогут с 5 октября нынешнего года загрузить обновление, которое исправит уязвимости.
Бреши, найденные Дрейком и уже получившие название Stagefright 2.0, являются не менее опасными, чем уязвимости в Stagefright, зафиксированные ранее. Данные уязвимости дают злоумышленнику возможность удаленно выполнять код, используя специально созданные файлы MP3 или MP4, и вследствие этого захватить контроль над целевым устройством. У атакующего, таким образом, появится доступ к персональным данным, хранящимся на девайсе, а также возможность делать фотографии, похищать электронную переписку и SMS-сообщения, осуществлять запись разговоров и загрузку дополнительных приложений.
В ходе атаки киберпреступник может принудить жертву посетить определенные веб-страницы и воспользоваться уязвимостью с помощью ссылок в электронных письмах и мгновенных сообщениях, а также вредоносных рекламных объявлений, размещенных на легитимных ресурсах.
Если у злоумышленника есть возможность перехвата Интернет-соединения жертвы, то эксплоит может быть внедрен им непосредственно в незашифрованный трафик.
Эксперты из Zimperium проинформировали команду Google об уязвимостях и планируют обнародовать PoC-эксплоит после выхода корректирующего обновления.