Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Strona główna Aktualności06.02.2019 19:33 Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Udostępnij: Polub: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: Polub: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Jak oglądacie telewizję za granicą? Ankieta i nasze podpowiedzi 21 sty Mateusz Budzeń Internet 71 Internet Rzeczy coraz częściej atakowany przez hakerów. Celem są nawet zmywarki do naczyń 18 wrz 2018 Oskar Ziomek Sprzęt Internet Bezpieczeństwo SmartDom 72 Znane menedżery haseł na Androida mają wspólną wadę – nie poznają fałszywych aplikacji 27 wrz 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 14 Jak być bezpiecznym w sieci? Według ekspertów wystarczy przestrzegać 5 zasad 6 paź 2018 Oskar Ziomek Internet Bezpieczeństwo 75 zobacz więcej
Udostępnij: Polub: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: Polub: © dobreprogramy Zgłoś błąd w publikacji