Февральские исправления для Android: система может быть атакована файлом PNG

8 February 2019

Хотя, как правило, плохой славой пользуются файлы PDF, это не единственный формат, который можно использовать для атаки. Смартфоны с Android можно атаковать графическими файлами формата PNG, загруженном с сайта, отправленного при помощи электронной почты или какого-либо мессенджера. Уязвимость уже устранена в Android Open Source Project (AOSP), но многим моделям смартфонов данные патчи не достались.

Уязвимыми являются версии от Android от 7.0 Нуга до версии 9.0 PI. В описаниях атак, так же упоминаются уязвимости: CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988. Трудно сказать, на каких смартфонах уже были устранены данные уязвимости. К счастью, Google не показал еще технических подробностей атаки и имеются сообщения об эффективном ее использовании. Так же не известно, являются ли данная уязвимость основной „калиткой”. В описании исправленных ошибок Google перечисляет довольно в общих чертах переполнение стека буфера, ошибки в SkPngCodec и компонентов визуализации изображения PNG.

Используя восприимчивость системы и специально подготовленный файл в PNG, злоумышленник может задать выполнение собственного кода на Android. Процесс будет запущен с теми же правами, как у программы, в которой файл был отображен. В результате достаточно убедить пользователя, открыть файл PNG на своем телефоне, чтобы запустить вредоносную программу. При загрузке и просмотре изображения ничто не указывает на то, что в него вшит дополнительный код.

Многие производители не отправляют обновления безопасности каждый месяц и основываются на собственном расписании, которое медленно изменяется. В общем, пакет исправлений содержит 42 поправки, из которых 11 помечены как критические.