Stagefright kwam 2 maanden aan het licht door beveiligingsonderzoekers. Die presenteerde het lek, waarvoor op dat moment 950 miljoen Android-toestellen kwetsbaar waren. De onderzoekers waarschuwden al de broncode vrij te geven, om druk te zetten op Google en telefoonfabrikanten om het lek te repareren.

Vrijgegeven

De broncode is nu vrijgegeven op het blog van de onderzoeker. Daarmee is het voor iedereen mogelijk tools te bouwen om het lek uit te buiten. Stagefright kan onder andere de root-controle van een telefoon overnemen, waardoor praktisch alles op het toestel te stelen of te manipuleren is. Stagefright is één van de ernstigste Android-lekken in de geschiedenis.

Diverse mogelijkheden

Stagefright kan op diverse manieren worden uitgebuit. Aanvankelijk leek dat alleen te kunnen door het versturen van MMS-berichten en andere multimedia, maar inmiddels zijn er meerdere manieren om het lek te exploiteren, zoals een man-in-the-middle-aanval op de browser.

Google-patch

De onderzoekers waarschuwden Google al voor het lek en gaf het bedrijf de tijd om een patch uit te brengen. Die heeft Google ook uitgebracht, maar de patch is nog lang niet op alle toestellen geïnstalleerd. Dat moet namelijk gebeuren via smartphonefabrikanten en providers, en die geven lang niet altijd updates aan oudere telefoons.

Onduidelijke verspreiding

Het is onduidelijk hoeveel telefoons er op dit moment nog kwetsbaar zijn voor het Stagefright-lek. Een aantal fabrikanten zoals Samsung, LG en HTC heeft de update verspreid, maar voor lang niet alle modellen.

De onderzoekers hebben overigens een app uitgebracht waarmee gebruikers kunnen controleren of hun toestel kwetsbaar is voor de Stagefright-hack. Die app is te downloaden in de Play Store.