Telefony s Androidem mohou být napadeny při běžném prohlížení PNG obrázků
Používáte zařízení se systémem Android? Potom zpozorněte! Při otevírání obrazového souboru na smartphonu musíte být opatrnější – ať už jej stáhnete odkudkoliv z internetu nebo jej dostanete prostřednictvím aplikací pro zasílání zpráv či e-mailů.
Ano, i pouhé prohlédnutí neškodně vypadajícího obrázku by mohlo ohrozit váš smartphone s Androidem. Mohou za to tři nově odhalené kritické chyby v zabezpečení, které se týkají miliónů zařízení, jež využívají nejnovější verze mobilního operačního systému od společnosti Google, a to od verze Android 7.0 Nougat až po současný Android 9.0 Pie.
Chyby, které nesou označení CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988, už byly společností Google opraveny a jejich záplaty byly zpřístupněny v AOSP (Android Open Source Project) v rámci únorových aktualizací zabezpečení systému Android.
Vzhledem k tomu, že ne všichni výrobci mobilních telefonů vydávají bezpečnostní záplaty každý měsíc, je však těžké říci, zda se k nim zrovna vaše zařízení dostane v dohledné době.
Přestože inženýři společnosti Google zatím nezveřejnili žádné technické detaily popisující tato zranitelná místa, aktualizace zmiňují opravu „přetečení bufferu na haldě“, „chyby v SkPngCodecu“ a chyby v určitých komponentách, které renderují obrázky ve formátu PNG.
Podle výstrahy Googlu by nejnebezpečnější z těchto tří chyb umožnila, aby škodlivý obrazový soubor typu PNG spustil na zranitelných zařízeních s Androidem libovolný kód.
Jak píše Google, „nejzávažnějším z těchto problémů je kritická chyba zabezpečení ve struktuře frameworku, díky níž by mohl vzdálený útočník pomocí speciálně upraveného obrázku typu PNG spustit libovolný kód v rámci privilegovaného režimu.“
Vzdálený útočník může tuto chybu zneužít jednoduše tím, že přiměje uživatele, aby na svých zařízeních s Androidem otevřeli speciálně upravený soubor PNG (což není možné pouhým okem rozeznat) odeslaný prostřednictvím zpráv nebo e-mailové aplikace.
Včetně zmiňovaných tří nedostatků vydala společnost Google záplaty pro celkem 42 bezpečnostních chyb ve svém mobilním operačním systému, z nichž 11 označila za kritické, 30 jako velmi závažné a jednu jako středně závažnou.
Technologický gigant zdůraznil, že nemá žádné zprávy o aktivním využití nebo zneužití kterékoliv z chyb zmíněných v únorovém bezpečnostním bulletinu.
Google také uvedl, že na veškeré chyby zabezpečení upozornil všechny partnery Androidu měsíc před jejich zveřejněním s tím, že „záplaty zdrojových kódů pro tyto problémy jsou dostupné v úložišti AOSP.“
