Segundo especialistas da empresa de segurança Zimperium, o Android tem uma falha grave de segurança que pode ser facilmente explorada, sendo que o atacante apenas necessita de saber o número de telefone.

Segundo a informação avançada pela própria Zimperium, para que o ataque seja bem sucedido  o utilizador do Android nem precisa de abrir qualquer anexo ou fazer o download de qualquer ficheiro, daí esta ser considerada uma falha grave.

MMSimageune

Na prática antes do conteúdo ser guardado e disponibilizado na biblioteca multimédia, o Android faz o pré-processamento(um processo designado de Stagefright) do mesmo (criação de thumbnails, extrair metadados, etc) podendo nessa fase ser executado código malicioso.

This happens even before the sound that you’ve received a message has even occurred. That’s what makes it so dangerous. [It] could be absolutely silent. You may not even see anything

Joshua Drake da Zimperium

Mas como funciona?

Um usuário mal intencionado criar um vídeo, esconde malware dentro desse conteúdo e enviar esse conteúdo para um número. Mal o telefone da vitima recebe essa informação (por exemplo, via app de Hangouts), são acionadas um conjunto de ações (maliciosas) que iniciam a exploração da vulnerabilidade que permitirá ao atacante copiar dados, apagar, obter acesso ao microfone ou câmara, etc.

A Google já tem conhecimento de tal vulnerabilidade e está já trabalhando numa solução com os vários fabricantes.