De onderzoekers die eind juli een ernstig lek in Android onthulden hebben nu ook de exploitcode gepubliceerd waarmee de kwetsbaarheid op één enkel Android-model kan worden aangevallen. Het beveiligingslek maakt het mogelijk voor een aanvaller om door een mms-bericht te versturen willekeurige code uit te voeren, informatie te stelen, e-mails te lezen en andere taken uit te voeren.

In het geval van oudere Android-toestellen is het zelfs mogelijk om het apparaat volledig over te nemen. De kwetsbaarheid bevindt zich in Stagefright, een mediabibliotheek die verschillende populaire mediaformaten verwerkt. Vanwege de ernst van het probleem besloot Zimperium, het bedrijf dat de kwetsbaarheid ontdekte, de exploit niet meteen te publiceren.

Sinds de aankondiging hebben verschillende fabrikanten updates uitgerold om gebruikers tegen het probleem te beschermen. Google heeft daarnaast nieuwe versies van Hangouts en Messenger uitgebracht om automatisch het verwerken van multimediabestanden die via mms binnenkomen te blokkeren. Volgens Zimperium is nu dan ook het moment aangebroken om de exploitcode te publiceren, zodat beheerders en beveiligingsprofessionals hun systemen kunnen testen.

De exploit heeft echter verschillende beperkingen. Het is namelijk geen generieke exploit en werkt slechts tegen één enkel model, namelijk een Nexus die Android 4.0.4 draait. Ook is de exploit niet 100% betrouwbaar. Daarnaast wordt de aangevallen kwetsbaarheid waar de exploit gebruik van maakt verholpen door beveiligingsmaatregelen in Android 5.0 en nieuwer.