מכשירי אנדרואיד חשופים לפריצה חמורה, העשויה להעניק להאקרים גישה למידע על המכשירים בלי שהמשתמש יוכל לדעת שנפרץ - והכל בלי לדעת דבר מלבד מספר הטלפון של המשתמש. כך חשפה הלילה חברת אבטחת המידע הישראלית זימפריום.
ג'ושוע דרייק, חוקר בחטיבת מחקר וניצול פרצות בפלטפורמות בחברה שנוסדה על ידי אברהם צוק, גילה כי מערכת ההפעלה של גוגל לסמארטפונים וטאבלטים כוללת קוד בשם StageFright ("פחד במה") לעבודה עם הודעות וידאו. הוא מאפשר לקבצי וידאו "נגועים" שנשלחו כהודעת MMS (SMS עם קובץ מצורף) להשתיל קוד זדוני בלב המערכת ולגשת למידע כמו המצלמה, המיקרופון והאחסון הפנימי, ובחלק מהמכשירים גם לכל המידע של האפליקציות האחרות ואף לרכיבי התקשורת של המכשיר.
החברה מגדירה את הפרצה כחמורה ביותר, מאחר ודרייק הראה כי לא רק שכדי לנצל אותה לא דרושה שום יכולת מלבד לשלוח הודעה סטנדרטית למספר טלפון, אלא שאפליקציות SMS מתקדמות כמו Hangouts של גוגל מאפשרות להודעה למחוק את עצמה מייד לאחר הקבלה, כך שהפרצה קורית עוד לפני שהמשתמש הבחין בכך שקורה משהו חריג ואין לו דרך לדעת שנפרץ.
ואם חומרת הפרצה לא מספיקה, גם התיקון שלה הוא עסק מורכב מאוד: גוגל עצמה כבר שלחה עדכון לקוד ה-StageFright במכשירי נקסוס שלה, אך רובם המוחלט של משתמשי אנדרואיד תלויים ברצונן הטוב של היצרניות, האחראיות על עדכון מכשיריהן. לרוב, יצרניות מעדכנות את המכשירים לעתים רחוקות ובאיחור ניכר לעומת העדכונים של גוגל. בנוסף, רובן כלל לא מעדכנות את המכשירים הישנים והזולים יותר, אלא רק את המכשירים החדשים והיקרים.
כרגע, אין דבר שניתן לעשות כדי להימנע מהפרצה במכשירים שטרם עודכנו. העצה הטובה ביותר היא להשתמש באפליקציית ברירת המחדל של אנדרואיד לקריאת SMS, שבה לפחות קובץ הווידאו הזדוני לא יכול לחדור למערכת לפני שפתחתם אותו. כמובן שתמיד מומלץ לחשוב פעמיים לפני שפותחים הודעות וקישורים שהתקבלו ממקורות לא ידועים.