Критическая уязвимость Android-библиотеки libutils

В августе представители компании Zimperium, занимающейся вопросами информационной безопасности, обнародовали отчёт о критической уязвимости в ядре мобильной операционной системы Android, которую окрестили как Stagefright.

Если говорить конкретнее, то она была обнаружена в одноимённом системном компоненте, предназначенном для работы с мультимедийными файлами. Хакер мог взломать устройство, отправив на номер жертвы MMS-сообщение, содержащее мультимедийный файл с вредоносным кодом. Тогда проблему удалось исправить при помощи обновлений, но сейчас вскрылась новая, еще более страшная угроза — Stagefright 2.0.

Данная лазейка затрагивает библиотеку Android libutils и при успешной эксплуатации позволяет злоумышленнику посредством модифицированных файлов MP3 или MP4 заполучить удалённый контроль над заражённым аппаратом. С этого момента хакер может записывать разговоры, читать электронную переписку, задействовать встроенную камеру и проделывать другие не менее впечатляющие фокусы. При этом по степени опасности Stagefright 2.0 превосходит свою «предшественницу». Теперь для заражения смартфона преступнику даже не нужно знать номер жертвы — вполне достаточно обманным путем заставить её скачать инфицированный файл, предварительно разместив его на произвольном веб-сайте, передает 3dnews.ru со ссылкой на businessinsider.com.

Исследователи Zimperium сразу же доложили о проблеме в Google, а та, в свою очередь, пообещала оперативно залатать брешь в своей операционной системе. Соответствующее обновление подоспеет уже сегодня. Правда, как выяснили корреспонденты Business Insider, в указанный день получат его лишь фирменные устройства компании линейки Nexus. Когда апдейт доберется до других аппаратов на базе Android, которых всего по миру насчитывается более миллиарда штук, не уточняется.