De update die Google voor het kritieke Stagefright-lek in Android heeft uitgebracht werkt niet, zo stellen onderzoekers van beveiligingsbedrijf Exodus Intelligence. Toch blijft Google de defecte update uitrollen, zo laten ze op hun eigen blog weten. Via Stagefright kan een aanvaller kwaadaardige apps op Android-telefoons installeren door alleen het versturen van een mms-bericht.

Op 31 juli stelde onderzoeker Jordan Gruskovnjak dat er een ernstig probleem met de voorgestelde patch van Google was. Aangezien de update zelf nog niet was uitgerold, kon de onderzoeker zijn vermoedens niet bevestigen. Vorige week bracht Google de update eindelijk uit, zodat Gruskovnjak kon testen of het StageFright-lek inderdaad helemaal was verholpen of niet. Uiteindelijk slaagde hij erin een MP4-bestand te maken die de update kon omzeilen en het toestel liet crashen. De onderzoeker waarschuwde Google op 7 augustus, maar kreeg geen reactie.

Daarop besloot Exodus Intelligence details over het probleem te publiceren. Het bedrijf stelt dat ze waarschijnlijk niet de enige zijn die hebben ontdekt dat de update het probleem niet helemaal verhelpt. Daarnaast zou de Stagefright Detector-app van Zimperium, het bedrijf dat de kwetsbaarheid ontdekte, ten onrechte aangeven dat gebruikers veilig zijn, ook al is dat niet het geval. Inmiddels werken Exodus Intelligence en Zimperium samen om de detectie van de app te verbeteren. Google heeft echter nog steeds niet gereageerd.