Manu Pitkänen
1. lokakuuta, 2015 19:49
Heinäkuussa tietoturvayhtiö Zimperium zLabs kohahdutti maailmaa kertomalla löytämästään Stagefright-haavoittuvuudesta, jonka avulla käytänössä kaikki käytössä olevat Android-laitteet oli mahdollista kaapata. Google korjasi ongelman, mutta nyt Zimperium on löytänyt uuden haavoittuvuuden Androidin Stagefright-käsittelykirjastosta.
Tälläkin kertaa haavoittuvuus koskee käytännössä kaikkia Android-laitteita, joten sitä voidaan hyvällä syyllä tituleerata Stagefright 2.0:ksi. Kyseessä on itse asiassa kaksi haavoittuvuutta, joista toinen koskettaa melkeinpä kaikkia julkaistuja Android-laitteita ja toinen vain kaikkein uusimpia (Android 5.0:sta lähtien). Haavoittuvuudet liittyvät Androidin tapaan käsitellä MP3- ja MP4-tiedostojen metatietoja.
Varsinainen hyökkäys voidaan toteuttaa ohjaamalla uhri hyökkääjän hallitsemalle verkkosivulle ja houkuttelemalla hänet lataamaan saastutettu tiedosto.
Google on ollut tietoinen aukosta elokuun 15. päivästä lähtien ja paikkauspäivitys on tulossa saataville lähiaikoina. Google kertoi tällä viikolla uusien Nexus-puhelimien julkistuksen yhteydessä, että Android-laitteita on käytössä jo yli 1,4 miljardia kappaletta.