Пользователям Android-устройств следует соблюдать большую осторожность при открытии графических файлов, загруженных из интернета или полученных в сообщении. Открыв безобидную на первый взгляд картинку, пользователь рискует подвергнуть свой смартфон угрозе взлома.
Причиной угрозы являются три обнаруженные недавно уязвимости, затрагивающие версии Android от 7.0 Nougat до 9.0 Pie. Google пока не раскрывает никаких технических подробностей о них, однако в обновлениях упоминается исправление переполнения буфера, ошибок в SkPngCodec и ряда проблем с компонентами для рендеринга PNG-изображений.
Согласно уведомлению безопасности от Google, самая опасная из трех уязвимостей позволяет особым образом сконфигурированному вредоносному PNG-изображению выполнить на устройстве произвольный код. «Наиболее опасной является критическая уязвимость в Framework, позволяющая удаленному атакующему с помощью особым образом сконфигурированного файла PNG выполнить произвольный код в контексте привилегированного процесса», - сообщается в уведомлении безопасности.
Для эксплуатации уязвимости злоумышленнику достаточно заставить жертву открыть вредоносное PNG-изображение, которое невооруженным взглядом невозможно отличить от безобидного. Изображение может быть отправлено жертве в мессенджере или по электронной почте.
CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988 были исправлены в Android Open Source Project (AOSP) с выходом плановых февральских обновлений безопасности. Поскольку далеко не все производители Android-устройств выпускают обновления каждый месяц, неизвестно, когда патчи дойдут до конечных пользователей.