Android-телефоны могут быть взломаны при просмотре изображения в формате PNG

Android-телефоны могут быть взломаны при просмотре изображения в формате PNG

Используете устройство Android?

Осторожно! При открытии файла изображения на смартфоне следует проявлять большую осторожность, загружая его из Интернета или получая с помощью приложений для обмена сообщениями или электронной почты.

Да, просто просмотр безобидно выглядящего изображения может взломать ваш смартфон Android — благодаря трем недавно обнаруженным критическим уязвимостям, которые затрагивают миллионы устройств, работающих под управлением последних версий мобильной операционной системы Google, от Android 7.0 Nougat до его нынешней Android 9.0 Pie. Уязвимости, идентифицированные как CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, были исправлены в Android Open Source Project (AOSP) компанией Google в рамках февральских обновлений безопасности Android .

Однако, поскольку не каждый производитель мобильных телефонов выпускает обновления для системы безопасности каждый месяц, сложно определить, будут ли на вашем Android-устройстве эти обновления для системы безопасности получать в ближайшее время. И более того, будут ли вообще!

Хотя инженеры Google еще не раскрыли каких-либо технических подробностей, объясняющих уязвимости, в обновлениях упоминаются исправление «ошибки переполнения буфера динамической памяти», «ошибок в SkPngCodec» и ошибок в некоторых компонентах, отображающих изображения в формате PNG.

Согласно рекомендациям, одна из трех уязвимостей, которые Google считает самой серьезной, может позволить злонамеренно созданному файлу изображения Portable Network Graphics (.PNG) выполнять произвольный код на уязвимых устройствах Android.

Как говорит Google, «наиболее серьезная из этих проблем — критическая уязвимость безопасности в Framework, которая может позволить удаленному злоумышленнику, использующему специально созданный файл PNG, выполнить произвольный код в контексте привилегированного процесса».

Удаленный злоумышленник может использовать эту уязвимость, просто обманув пользователей, открыв вредоносный файл изображения PNG (который невозможно обнаружить невооруженным глазом) на своих устройствах Android, отправленных через службу мобильных сообщений или приложение электронной почты.

С учетом этих трех недостатков Google исправила 42 уязвимости безопасности в своей мобильной операционной системе, 11 из которых оценены как критические, 30 — высокие и одна — средней тяжести.

Технологический гигант подчеркнул, что у него нет сообщений об активной эксплуатации или диком злоупотреблении какой-либо из уязвимостей, перечисленных в февральском бюллетене по безопасности.

Google заявил, что уведомил своих партнеров Android обо всех уязвимостях за месяц до публикации, добавив, что «исправления исходного кода для этих проблем будут выпущены в репозиторий Android Open Source Project (AOSP) в течение следующих 48 часов».

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только