Telefony s Androidem lze napadnout pomocí obrázku PNG

Archivy ZIP nebo instalační balíčky APK jsou typy souborů, u kterých si většina zkušených uživatelů dává při stahování do svého telefonu pozor, neboť u nich hrozí poměrně vysoké riziko nakažení malwarem. Google ovšem přišel na to, že útočníci mohou šířit škodlivý kód i prostřednictvím obrázku. Informaci zveřejnil v nejnovějším, tedy únorovém vydání svého zpravodaje – Android Security Bulletin February 2019. Stejně jako každý měsíc v něm informuje o opravených bezpečnostních hrozbách, které ohrožovaly zařízení s Androidem. Tentokrát byla hlavní pozornost věnována trojici kritických zranitelností, která nesou označení CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988. Objeveny byly v posledních verzích operačního systému od Androidu 7.0 až po nejnovější Android 9.0.

 

 

Bezpečnostní chyba byla objevena ve struktuře framework a útočníkovi by umožnila spustit na zařízení takřka libovolný škodlivý kód, který by zvládl i upravit hlavní systémové procesy. Stačil by k tomu přitom upravený obrázek typu PNG, který by uživatel stáhl a otevřel ve svém zařízení. PNG přitom patří k nejvyužívanějším formátům pro sdílení obrázků a fotografií na internetu. Google naštěstí opravil chybu včas, do dnešního dne totiž nebylo zjištěno, že by byla v praxi opravdu zneužita nějakým útočníkem. Zranitelnost opravuje únorový balíček bezpečnostních záplat od Googlu (z 5. 2. 2019), který v těchto dnech vychází pro první zařízení s Androidem.

 

Nejlepší podporu v tomto ohledu obvykle mají telefony Pixel nebo modely z programu Android One. Většina zařízení tedy stále zůstává zranitelná, právě proto Google nezveřejnil podrobnosti o chybě, které by útočníkům mohly posloužit jako návod.

 

Zdroj: Source.android.com