Joshua J. Drake, Phó chủ tịch của Zimperium zLabs, cho biết ông đã tìm thấy lỗ hổng, tên mã Stagefright, trong một trong những thư viện mà Android sử dụng để hiển thị và đọc các định dạng file thông thường như PDF.

"Có nhiều lỗ hổng bảo mật đang tồn tại trong các thiết bị Android. Một trong số đó là Stagefright. Sai sót trong việc viết code giúp kẻ tấn công có thể gửi mã độc trực tiếp tới bất cứ thiết bị nào miễn là biết số điện thoại", Drake cho hay.

Lỗi này tồn tại trong các điện thoại, máy tính bảng chạy Android phiên bản 2.2 trở về sau (các bản cũ hơn không bị ảnh hưởng). Có nghĩa, hơn 950 triệu smartphone và tablet đang gặp nguy hiểm. Theo Forbes, đây là lỗ hổng bảo mật tồi tệ nhất từng được phát hiện trên hệ điều hành của Google.

Lỗi Stagefright được đánh giá là lỗi bảo mật tồi tệ nhất trên Android.

"Phần đáng sợ là lỗi Stagefright không đòi hỏi người dùng phải thực hiện thao tác gì, tức hacker có thể cài mã độc từ xa bằng cách gửi một file media qua MMS là đã có thể kiểm soát được thiết bị", Drake giải thích. "Trong khi đó, đa số các vụ tấn công khác được tiến hành bằng việc dụ người sử dụng mở file đính kèm hoặc bấm vào đường link trong e-mail, tin nhắn...".

Sau khi thâm nhập vào máy, hacker sẽ tiếp cận được các ứng dụng như audio, camera... rồi từ đó nghe lén các cuộc gọi hay quan sát môi trường xung quanh vị trí đặt thiết bị.

Zimperium zLabs đã gửi bản sửa lỗi Stagefright cho Google từ tháng 4 nhưng có vẻ đa số nhà sản xuất điện thoại vẫn chưa triển khai bản vá. Dù vậy, công ty này cũng chưa phát hiện vụ khai thác nào trên thực tế. Họ sẽ trình diễn phát hiện trên tại diễn đàn Black Hat ngày 5/8 và DEF CON 23 ngày 7/8.