CISO对Android生态系统安全性的不信任感继续增加。 最新的原因来自以色列安全公司North Bit，该公司在本周的一份报告中说，它创造了一个新的证据，证明了Android多媒体库中一个bug的概念利用，即使是最近发布的补丁也会失败。
 

这种名为Stage Fright的错误影响了数百万运行Android版本4.0、5.0和5.1的手机，以及其他被认为受到保护的版本，因为它们在Mediaserver组件中运行地址空间布局随机化(ASL R)，或者自Stage Fright于去年夏天发布以来一直被修补。

North Bit对其“隐喻”的开发进行了配音，并表示其研究主要是基于谷歌的开发­38226和谷歌的“零：阶段恐惧”项目中的研究博客。
 

简单地说，受害者必须被骗点击一个链接到一个网站托管恶意视频-也许在一个有针对性的攻击通过电子邮件或短信，或通过损害广告网络。

加载视频的第一次尝试使播放器崩溃并重新启动，并且它在手机上向检查漏洞的攻击者发送数据。 如果它是脆弱的，一个新的视频上传，其中包括恶意软件，允许手机被接管。

“我们的开发效果最好的Nexus5与股票ROM，”北位报纸说。 “它还在HTCOne、LGG3和三星S5上进行了测试，但不同供应商之间的开发略有不同。 需要稍作修改。
 

重要的是要注意，这是一个远程代码执行漏洞，可能仍然有必要提高mediaserver进程的特权，因为不同的供应商给mediaserver及其组以不同的权限。“威胁网站引用IDC移动分析师说，该报告是Android碎片化弱点的另一个例子，无线运营商在向用户发布和部署软件补丁方面速度很慢。