Κενό ασφάλειας με αρχεία PNG σε συσκευές Android
1 min read
Χρησιμοποιείτε μια συσκευή Android;
Προσοχή! Πρέπει να είστε ιδιαίτερα προσεκτικοί όταν ανοίγετε ένα αρχείο εικόνας στο smartphone σας – που λαμβάνετε οπουδήποτε από το Internet μέσω μηνυμάτων ή εφαρμογών ηλεκτρονικού ταχυδρομείου.
Βλέποντας απλώς μια εικόνα θα μπορούσε να κάνει ζημιά στη συσκευή στο Android smartphone σας – χάρη σε τρία πρόσφατα εντοπισμένα κρίσιμα σημεία ευπάθειας που επηρεάζουν εκατομμύρια συσκευές που εκτελούν πρόσφατες εκδόσεις του κινητού λειτουργικού συστήματος της Google, από το Android 7.0 Nougat μέχρι την τρέχουσα Android 9.0 Pie.
Τα τρωτά σημεία με ονομασίες CVE-2019-1986, CVE-2019-1987 και CVE-2019-1988, έχουν διορθωθεί από την Google στο Android Open Source Project (AOSP).
Ωστόσο, επειδή οι κατασκευαστές smartphone δεν εκδίδουν ενημερώσεις ασφάλειας κάθε μήνα, είναι δύσκολο να προσδιορίσετε αν η συσκευή σας Android θα έχει τις τελευταίες ενημέρωσεις.
Αν και οι μηχανικοί της Google δεν έχουν αποκαλύψει ακόμα τεχνικές λεπτομέρειες που να εξηγούν τις ευπάθειες, οι ενημερώσεις αναφέρουν την αποκατάσταση του “buffer overflow buffer”, “σφάλματα στο SkPngCodec” και σφάλματα σε ορισμένα στοιχεία εικόνων PNG.
Ενα από τα τρία σημεία ευπάθειας, το οποίο η Google θεωρούσε το πιο σοβαρό, θα μπορούσε να επιτρέψει σε ένα κακόβουλο αρχείο εικόνας Portable Network Graphics (.PNG) να εκτελέσει αυθαίρετο κώδικα στις ευάλωτες συσκευές Android.
Όπως λέει η Google, “το πιο σοβαρό από αυτά τα ζητήματα αποτελεί κρίσιμη ευπάθεια ασφαλείας στο πλαίσιο που θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να χρησιμοποιήσει ένα ειδικά επεξεργασμένο αρχείο PNG για να εκτελέσει αυθαίρετο κώδικα στο πλαίσιο μιας προνομιακής διαδικασίας”.
Ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευτεί αυτό το θέμα ευπάθειας, απλώς παρακάμπτοντας τους χρήστες να ανοίξουν ένα κακόμορφο αρχείο εικόνας PNG (το οποίο είναι αδύνατο να εντοπιστεί με γυμνό μάτι) στις συσκευές τους Android που αποστέλλονται μέσω υπηρεσίας κινητού μηνύματος ή μέσω εφαρμογής ηλεκτρονικού ταχυδρομείου.
Συμπεριλαμβανομένων αυτών των τριών ατελειών, η Google έχει επιδιορθώσει συνολικά 42 ευπάθειες ασφαλείας στο λειτουργικό της σύστημα κινητής τηλεφωνίας, 11 από τα οποία είναι κρίσιμα κρίσιμα, 30 υψηλά και ένα μέτρια σε σοβαρότητα.
Ο γίγαντας της τεχνολογίας τόνισε πάντως ότι δεν υπάρχει κάποια αναφορά για κάποιο κρούσμα ή εκμετάλλευση αυτού του κενού ασφάλειας στα δελτία ασφάλειας του Φεβρουαρίου.
Η Google δήλωσε ότι έχει ενημερώσει τους συνεργάτες της σχετικά με το θέμα αυτό ένα μήνα πριν από τη δημοσίευση, προσθέτοντας ότι “οι κώδικες πηγαίου κώδικα για αυτά τα θέματα θα κυκλοφορήσουν στο χώρο αποθήκευσης του προγράμματος AOSP (Android Open Source Project) τις επόμενες 48 ώρες”.
George S. Metallidis
https://www.TechNode.gr
https://thehackernews.com/2019/02/hack-android-with-image.html
About The Author
