Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Strona główna Aktualności06.02.2019 19:33 Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Wektory ataków w sieci stale się zmieniają. Eksperci radzą zwrócić uwagę na luki w API 26 sty 2019 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 14 Aplikacje polityczne zagrożone atakami. Cyberprzestępcy mogliby sabotować wybory 2 kwi 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 0 Metro Exodus: ataki ze strony fanatyków platformy Steam nie ustają 16 lut 2019 Piotr Urbaniak Gaming Biznes IEM2019 149 Kolejny atak ransomware w USA: oszuści zakłócili pracę urzędów i biura szeryfa 28 mar 2019 Oskar Ziomek Internet Bezpieczeństwo 7
Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji