Наверняка вы помните о Stagefright, одной из самых опасных уязвимостей Android, выявленной в последнее время. Исследователи в области безопасности из Израиля обнаружили новый эксплойт на основе Stagefright, который позволяет полностью передать злоумышленникам контроль над смартфонами LG, HTC и Samsung всего за 15 секунд. Эксплойт получил название «Metaphor».
«Метафора» позволяет вредоносной программе попасть на устройство, после чего она может копировать и удалять данные на устройстве. Злоумышленники также смогут получить контроль над камерами, микрофонами и GPS-приемником смартфона.
Как можно стать жертвой Metaphor? Пользователь может получить в виде сообщения ссылку на видео, которое вызывает перезагрузку встроенного медиаплеера. После этого скрипт на странице собирает все возможные данные и отправляет их на сервер, на котором хранится видео. Сервер в ответ отдает другой видеофайл, содержащий в себе вредоносную программу, которая и осуществляет контроль над устройством.
Согласитесь, перезагрузка приложения для просмотра видео не кажется чем-то необычным и обычно не вызывает подозрений у пользователей смартфонов на Android. Злоумышленникам даже не нужно, чтобы вы смотрели видео. Вредоносное ПО может быть заложено в информацию о названии или длине видео, которую считывает устройство.
Уже сегодня исследователи в области безопасности смогли заразить Nexus 5, Galaxy S5, LG G3 и HTC One на версиях Android до 4.0 включительно, а также на Android 5.0 и 5.1. Считается, что другие версии ОС не подвержены атаке.
