De grootste schrik hebben we ondertussen wel gehad wanneer we het hebben over Stagefright, maar Zimperium labs (de ontdekkers van Stagefright) komen met nog meer slecht nieuws. Er is namelijk een Stagefright 2.0 opgedoken en deze keer zit de kwetsbaarheid in twee vectoren waarvan één afkomstig is uit dezelfde libstagefright die ook verantwoordelijk was voor het eerste lek. Het grote verschil met de eerste versie van Stagefright is dat hij nu ook mee kan komen op MP3 audio en MP4 video.
Libstagefright
Libstagefright is een software bibliotheek van Android zelf die de afhandeling van multimediale content voor zijn rekening neemt. Met de eerste versie van het Stagefright-lek kon deze bibliotheek makkelijk uitgebuit worden om toegang te geven tot het toestel, enkel door een corrupte MMS te scannen. Uiteraard heeft Google dit ondertussen opgelost maar Stagefright 2.0 doet precies hetzelfde maar dan door een corrupte MP3 of MP4 te scannen. Zelfs de voorbeeldmodus van een MP3 of MP4 is al genoeg.
Iets lastiger
Omdat Google het Stagefright probleem met MMSjes al opgelost heeft, is het implementeren van een daadwerkelijke aanval via Stagefright 2.0 een stuk moeilijker. Bij de eerste versie van Stagefright was het al genoeg wanneer de gebruiker een corrupte MMS ontving, maar in het geval van Stagefright 2.0 moet de aanvaller ervoor zorgen dat de gebruiker een website bezoekt vanaf zijn/haar mobiel of dat de gebruiker een corrupt bestand afspeelt via een kwetsbare Android app.
Ondanks dat het lastiger is om problemen te krijgen met Stagefright 2.0, is het aantal aangedane toestellen veel hoger dan bij de eerste versie van Stagefright, dit omdat Stagefright 2.0 twee kwetsbaarheden in één is. De eerste versie maakte gebruik van een library genaamd libutils, die alleen gebruikt werd door zogenaamde ‘third party apps’ en oudere versies van Android (1.0). Stagefright 2.0 is gevaarlijk voor alle Android toestellen, zelfs met Android 5.0 of hoger.
Google is op de hoogte van Stagefright 2.0 en heeft alvast een trackingnummer aangemaakt voor de kwetsbaarheid in libutils. Het rare is wel dat Google nog niet heeft bevestigd wat te gaan doen aan de kwetsbaarheid in libstagefright.
