Cuando investigadores de Zimperium Mobile Security publicaron detalles del original Stagefright, ya advirtieron que ellos u otros encontrarían nuevas vulnerabilidades en este motor de reproducción de Android.

Dicho y hecho. Después que Google parcheara la vulnerabilidad original se han descubierto dos vulnerabilidades (CVE-2015-6602 y CVE-2015-3876) con los mismos riesgos que el original y afectando a todas las versiones de Android, hasta la 5.1.1.

Solo cambia el vector de ataque, desde un página web maliciosa, técnicas Man-in-the-middle, reproductores multimedia de terceros o aplicaciones de mensajería. A partir de ahí, un atacante podría ejecutar código remotamente y hacerse con el control del terminal, con acceso a los datos personales y fotografías almacenadas, enviar SMS / MMS premium y cargar aplicaciones adicionales.

Los investigadores reportaron las vulnerabilidades a Google y éste entregó a sus socios parches que lo solucionan el 10 de septiembre. Google ha programado la actualización mensual de seguridad el 5 de octubre coincidiendo con el lanzamiento de la versión final de Android 6.0.

El problema será el tiempo que los diversos fabricantes provean los parches a los usuarios. Al menos, desde Zimperium explican que no publicarán detalles técnicos y la prueba de concepto hasta que no se libere la solución.

Fuente: muyseguridad