Stagefright, уязвимость безопасности ОС Android, до недавнего времени была лишь теоретически опасна — ее слишком сложно было реализовать на реальном Android устройстве надежным, массовым способом. Теперь — нет. Исследователи безопасности NorthBit разработали proof-of-concept Stagefright эксплоита — Metaphor(Метафора), которая компрометирует защиту Android телефонов. Ключевой особенностью работающего скрипта является использование предварительной процедуры, которая определяет механизмы защиты на конкретном устройстве, перед тем как начать атаку. Например, посетив веб-сайт с злонамеренно спроектированным MPEG-4 видео, эксплоит приведет к краху медиа-сервера на Android, при этом отправив аппаратные данные устройства обратно атакующему, затем отправляется другой видеофайл, собираются дополнительные данные по безопасности и шлется последний видео файл, который и заражает устройства.

Звучит несколько трудоемко, но на самом деле все работает быстро: типичная атака взламывает телефон в течение 20 секунд. Пока эксплоит наиболее эффективный на Nexus 5 с стоковой прошивкой, но известно, что идут работы по созданию индивидуальных вариантов под конкретные прошивки, такие как HTC One, LG G3 и Samsung Galaxy S5.