Op dit moment is vrijwel iedereen nog kwetsbaar voor deze specifieke bug, die iedereen sinds Android 2.3 treft. Deze week is Google wel begonnen met het uitrollen van patches naar Nexus-toestellen. Cyanogenmod heeft de bug ook al gepatcht. Daarnaast heeft HTC het lek gedicht in zijn One M9. Wie wil checken of zijn Android-toestel getroffen is, kan een app van beveiligingsbedrijf Zimperium downloaden om dat te controleren.
Google beloofde tijdens Black Hat dat veel toestellen, onder meer van Samsung, HTC, LG en Sony, nog deze maand een update zullen krijgen. Een complete lijst met toestellen die worden gepatcht is er echter nog niet. Het zal daarbij waarschijnlijk om vlaggenschepen en recentere telefoons gaan.
Volgens Google krijgen 'honderden' toestellen een patch, maar dat zijn lang niet alle toestellen: volgens OpenSignal zijn er rond de 24.000 verschillende Android-toestellen in omloop. Het is de vraag hoeveel van die toestellen snel, zij het überhaupt, een update zullen krijgen. Op de lijst staan wel de populairste apparaten, waaronder de tot nu toe niet meer ondersteunde Galaxy S3 van Samsung.
Dus: wat te doen als je momenteel kwetsbaar bent - of blijft - voor deze bug? Een belangrijke stap voert Google zelf al uit: in de Hangouts-app worden vanaf eind deze week tijdelijk geen thumbnails meer getoond. Daardoor worden filmpjes niet automatisch door het Stagefright-framework verwerkt en kun je dus niet ongemerkt met een mms worden gehackt. Als je een filmpje opent, ben je nog wel kwetsbaar. Ook WhatsApp en Telegram hebben instellingen om het automatisch downloaden van video's uit te zetten.
Voor de rest is het lastig voor gebruikers om zichzelf tegen de aanval te wapenen. Voorzichtigheid bij het openen van filmpjes is aan te raden, maar zoals Drake heeft aangetoond, is voorzichtigheid niet genoeg.
Van links naar rechts: Hangouts, WhatsApp en Telegram
Voor zover bekend wordt de bug op dit moment nog niet in het wild misbruikt. Drake was eigenlijk van plan om zijn eigen exploit al tijdens Black Hat vrij te geven, maar na overleg met telecomproviders besloot hij daarvan af te zien. De exploit komt nu later deze maand, tenzij iemand anders al een exploit vrijgeeft of de bug wordt misbruikt. "Dan geven we onze exploit ook vrij", aldus Drake, die stelt met de exploit 'bewustwording' te willen creëren. Ook kan de exploit juist helpen om verspreiding van het probleem tegen te gaan. Volgens Drake zijn bijvoorbeeld makers van beveiligingssoftware en intrusion detection systems geïnteresseerd in de details.
Tijdens Black Hat deed Drake wel uit de doeken waar de bugs precies zitten. Het is dan ook niet onwaarschijnlijk dat bezoekers van de conferentie momenteel proberen om de hack na te bootsen. Het automatisch ophalen van mms'jes kan daarom beter worden uitgezet, raadt Drake zelf ook aan.
Ondanks alles gebruikt Drake overigens zelf nog steeds een Android-telefoon. "Ik ren niet gillend weg van Android", zegt hij. "Ik wil het beter maken." Wel raadt hij mensen af om oudere Android-versies te gebruiken. "Dat is een slecht idee; die apparaten zitten sowieso vol met kwetsbaarheden."