Varias firmas de seguridad están reportando que más de 1.400 millones de terminales Androidón estarían expuestos a un par de nuevas vulnerabilidades Stagefright.
Estas vulnerabilidades, denominadas por la firma de seguridad Zimperium como Stagefright 2, permiten que un atacante ejecute código malicioso en terminales Android y de acuerdo a Joshua Drake, Vicepresidente de Investigaciones de esa empresa, están conformadas por dos bugs que se pueden explotar a través de ficheros MP3 (audio) o MP4 (vídeo) especiales.
La primera vulnerabilidad que se encuentra en la libreríal ibutils, impacta a casi todos los dispositivos Android desde la versión 1.0 lanzada en el 2008. Los investigadores de Zimperium también encontraron métodos para ejecutar esa vulnerabilidad en los dispositivos que utilizan Android 5.0 o mayor, usando la segunda vulnerabilidad que se encuentra en la librería libstagefright. Google indexó la vulnerabilidad en libutils como CVE-2.015-6602, pero hasta ahora no lo hizo con la segunda.
La vulnerabilidad depende del proceso de la metadata de los ficheros de audio y vídeo comprometidos, por lo que solo con una vista previa de los mismos, es suficiente para explotar la vulnerabilidad. De acuerdo a Zimperium los atacantes podrían intentar lo siguiente
Un atacante podría intentar convencer a un usuario desprevenido a visitar una URL que apunta a un sitio Web controlado por el atacante
Un atacante en la misma red podría inyectar el exploit usando técnicas comunes para interceptar tráfico (MITM) en el tráfico de red sin cifrar, destinado para el navegador.
Aplicaciones de terceros (reproductores multimedia, mensajería instantánea, etc.) que utilizan la librería vulnerable.