ביולי התקשר באג במערכת השמעת המדיה של אנדרואידסטייג'רייט, שרק היה צריך לשלוח הודעת טקסט בעלת מבנה מיוחד לטלפון של הקורבן על מנת לבצע קוד מרחוק, הותיר כמעט מיליארד מכשירים פגיעים להאקרים.
למרות שגוגל הוציאה מיד תיקון עבור הפגיעות הספציפית הזו, חברת מחקר האבטחה שמצאה את הבאג המקורי, Zimperium,נמצא כעתשתי נקודות תורפה חדשות ב-Stagefright, המאפשרות להאקרים להשתלט על מכשיר אנדרואיד על ידי שליחת הקורבן קובץ מולטימדיה בעל מבנה מיוחד.
היתרונות החדשים מבוססים על הדרך שבה אנדרואיד מטפלת בקבצי אודיו MP3 ו- MP4. פגיעות אחת, בספריית libutils, משפיעה על "כמעט כל מכשיר אנדרואיד מאז גרסה 1.0", לפיצימפריום, אך מכשירים נמצאים בסיכון רק אם אפליקציה של צד שלישי או אפליקציה המותקנת על ידי ספק משתמשת בפונקציה הפגיעה. השני, בספריית libstagefright, יכול לשמש כדי להפעיל את הראשון במכשירים חדשים יותר, עם אנדרואיד 5.0 ומעלה.
ג'ושוע דרייק, חוקר ב-Zimperium zLabs,סיפרלוח אם: "כל מכשירי האנדרואיד ללא התיקון שעדיין לא שוחרר מכילים את הבעיה הסמויה הזו."
בפועל, המשמעות היא שתוקף יכול לבצע מרחוק קוד במכשיר של הקורבן על ידי שליחת קובץ MP3 או MP4 זדוני.
בניגוד לניצול המקורי של Stagefright, שדרש שליחת הודעת טקסט, כעת סביר יותר שתוקף ינסה לפתות את הקורבן לאתר אינטרנט, המכיל את קובץ המולטימדיה הזדוני. החלק הרע הוא שהקורבן אפילו לא צריך לפתוח את התיק.
"הפגיעות טמונה בעיבוד המטא נתונים בתוך הקבצים, כך שעצם הצפייה המקדימה של השיר או הסרטון תגרום לבעיה", כתב זימפריום בפוסט בבלוג.
למרות שגוגל הכירה בבעיה, תיקון עדיין לא זמין. גרוע מכך, גם לאחר שגוגל תשחרר אותו, ייתכן שייקח זמן מה ליצרני טלפונים אנדרואיד ליישם אותו, כמוזה קרהעם הבאג המקורי של Stagefright.
דרך הפעולה הטובה ביותר למשתמשים כרגע היא להימנע מפתיחת קבצי מולטימדיה וקישורים ממקורות לא ידועים.
