Pour les utilisateurs Android, la torpeur estivale a été perturbée par la faille de sécurité Stagefright. Sur un appareil Android vulnérable, son exploitation peut permettre une exécution de code à distance à l'insu de l'utilisateur. Un vecteur d'attaque est la simple réception d'un message MMS piégé.

Les problèmes résident au niveau de la bibliothèque logicielle libstagefright et ont été mis au jour par Joshua Drake de la société de sécurité mobile Zimperium. Cette dernière avait l'intention de publier un code exploit le mois dernier mais en accord avec des opérateurs et fabricants, une telle publication a été retardée.

Ce code exploit pour la vulnérabilité référencée CVE-2015-1538 est aujourd'hui lâché dans la nature. Zimperium justifie cette publication pour des fins de test. Le code exploit n'est toutefois pas générique et a été testé sur un Nexus fonctionnant avec Android 4.0.4.

L'annonce de Stagefright avait eu l'effet d'un petit électrochoc qui a poussé Google à mettre en place une politique de mises à jour de sécurité mensuelles pour ses appareils Nexus. Samsung a également suivi pour les Galaxy.

Un opérateur comme Orange en France indique pour sa part " être en contact avec ses partenaires constructeurs pour planifier le déploiement de mises à jour contenant des correctifs de sécurité " pour Stagefright. Il souligne qu'aucune exploitation n'a été constatée… mais c'était avant la disponibilité du code exploit.