Onderzoekers van het bedrijf Zimperium zLabs hebben een lek gevonden in het besturingssysteem Android. Dit lek zou aanwezig zijn in alle Android versies sinds 1.6.
Het lek is aanwezig in het gedeelte van Android dat zich bezig houdt met het afspelen van media. Personen of instanties die dit lek misbruiken kunnen complete controle krijgen over het apparaat en de aanwezige data. Dit kan gebeuren zonder dat de gebruiker zich hiervan bewust is.
Om media af te spelen kan gebruik worden gemaakt van een zogenoemd framework. Een framework is een verzameling softwarecomponenten die gebruikt kunnen worden bij het ontwikkelen van software. Wanneer er om media af te kunnen spelen gebruik wordt gemaakt van het framework Stagefright, is het apparaat vatbaar voor een aanval zoals die eerder is beschreven.
Hoe? In sommige instanties controleert Stagefright niet de grootte van het videobestand dat het aan het verwerken was. Aanvallers kunnen zo hun eigen code meesturen met de videodata zonder dat dit onderschept werd. Door bijvoorbeeld teveel data mee te sturen kun je een zogenoemde buffer laten ‘overstromen’ waarna het mogelijk kan zijn om het apparaat binnen te dringen. Mocht de beveiliging dit toelaten.