En ny spinn på Stagefright-felet - som sköt till berömmelse som en gapande Android-sårbarhet förra året - ligger på platsen och kan potentiellt leda till att användarna av Googles mobila operativsystem ger en hel del sorg.

Utnyttjandet, som heter Metafor, avslöjades av Northbit, en israelsk säkerhetskonsult, och kunde potentiellt hanteras mot miljoner Android-telefoner över hela världen.

Utnyttjandet kan användas mot enheter som kör Android versioner 2.2 till 4.0, och även Android 5.0 och 5.1 (Lollipop). När det gäller den senare är det klokt nog att kringgå ASLR (Randomisering av adressutrymme - ett defensivt minnesskyddsåtgärd).

Som Northbit noter har det hävdats att Stagefright var opraktiskt att utnyttja i naturen på grund av mildringar inbyggda i de nyare versionerna av Android, vars huvudpelare är ASLR. Men det verkar som om dessa försvar inte är så vattentäta som människor tidigare har trott.

Nexus nobbled

Northbit har publicerat ett forskningspapper som beskriver exploateringen, och även en video som visar att den används för att kompromissa med en Nexus 5-telefon som kör Android 5.0.1, med att användaren i demon blir slagen genom att bara lockas till att klicka på en länk till exploit- laddad webbplats.

Uppenbarligen har säkerhetsföretaget också framgångsrikt utnyttjat felet mot LG G3, HTC One och Samsung Galaxy S5-telefoner (även om små ändringar behövdes för att rikta sig mot olika telefoner).

I sitt papper slutade Northbit: "Denna undersökning visar att exploateringen av denna sårbarhet är möjlig. Även om ett universellt utnyttjande utan förkunskapskunnande inte uppnåddes, eftersom det är nödvändigt att bygga upp tabeller per ROM, har det visat sig praktiskt att utnyttja det vilda."

Chris Eng, forskningschef vid Veracode, kommenterade frågan: "Med upptäckten av metaforens sårbarhet är 2016 det tredje året i rad när en allvarlig applikationsutnyttjande har upptäckts som kan påverka miljontals enheter.

"Sårbarheter för patchapplikationer är särskilt utmanande för Android-gemenskapen med antalet olika tillverkare och operatörer som är ansvariga för att utfärda patchar på enheter. Som med Stagefright förutser vi att Google snabbt kommer att utfärda en korrigeringsfil för att lösa detta problem. , vi hoppas att vi inte ser en återspelning av Stagefright 2.0 där många av patcharna inte hade rullats ut till slutanvändare. "

Faktum är att vi hoppas att åtgärder vidtas snabbt och under tiden, om du (eller dina anställda) använder en Android-enhet, kan det vara värt att ta lite extra försiktighet när du klickar på länkar. Även om dessa dagar är vaksamhet ganska mycket ett konstant behov när det gäller länkar (och bilagor).

Via: Wired

  • Kolla även: Android 6 Marshmallow uppdatering: när kan jag få det?