Stagefright – błąd w systemie Android umożliwiający zdalne wykonywanie kodu na zaatakowanym urządzeniu. Błąd dotyczy systemu Android w wersjach 2.2 i nowszych. Do przedstawienia idei ataku wykorzystano specjalnie przygotowany MMS wysłany na atakowane urządzenie. Tak wykonany atak nie wymaga żadnej czynności od użytkownika końcowego, a do jego wykonania potrzebna jest jedynie znajomość numeru telefonu. Do ataku wykorzystywane są luki w bibliotece „Stagefright” odpowiedzialnej za odtwarzanie i nagrywanie multimediów.
Szacunki mówią o blisko miliardzie urządzeń narażonych na atak tego typu.[potrzebny przypis]
Błąd Stagefright odkrył Joshua Drake z firmy Zimperium zajmującej się bezpieczeństwem i został ogłoszony publicznie 27 lipca 2015 r., a w kwietniu 2015 informacja o błędzie została przekazana do Google.