Tegnap hírt adtunk egy olyan hibáról, ami majdnem minden Android telefont érint. Ezt a hibát kihasználva egy támadó a telefonunk felett átveheti az irányítást egy egyszerű MMS küldésével, és gyakorlatilag korlátok nélkül megfigyelhet minket. A hiba a telefon média feldolgozó (mediaserver) programjában van, és a hibát ugyan javította már az AOSP forrásban a Google, de az kérdés, hogy ez mikor kerül el a telefonunkra, mert ehhez a telefon gyártójának közreműködésére is szükség lenne. A hiba javítása egyelőre csak a CyanogenModba került bele (Illetve a Silent Circle adott még ki javítást a Blackphone-okhoz, illetve a FirefoxOS is javította már a hibát, májusban).
Nos, most a Trend Mikro szakemberei tettek közzé egy újabb biztonsági hibát, ami szintén a mediaserver kódjában van. Lehetőség van arra, hogy egy MKV fájlban rejtsenek el rosszindulatú kódot, ami egy Android készüléken aktiválja magát, a film lejátszása közben, a háttérben. Ez a filmlejátszás akár egy böngészőben is történhet, úgy, hogy a weboldalt néző felhasználó akár nem is tud arról, hogy a háttérben elindult egy MKV lejátszás, mert a Chrome Autoplay funkciója nem küszöböli ki a rosszindulatú program lefutását, ami ugyanazt eredményezi, mint a korábbi hibánál a fertőzött MMS. A hiba Android 4.3, vagy annál újabb verziókat érint, még a legutóbbi Android 5.1.1-et is. A hibát a Google elismerte, de alacsony prioritással kezeli, így nem is nagyon várhatunk hibajavítást a közeljövőben.
forrás: greenbot