Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Strona główna Aktualności06.02.2019 19:33 Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Popularne aplikacje na Androida podatne na atak z pamięci zewnętrznej 13 sie 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 43 Kryptowire: urządzenia z systemem Android narażone są na poważne ataki, a winę ponoszą operatorzy 13 sie 2018 Piotr Urbaniak Oprogramowanie Sprzęt Bezpieczeństwo 58 Internet Rzeczy coraz częściej atakowany przez hakerów. Celem są nawet zmywarki do naczyń 18 wrz 2018 Oskar Ziomek Sprzęt Internet Bezpieczeństwo SmartDom 77 Trojany na Androida czają się wszędzie, ale to nie tylko aplikacje bankowe 9 paź 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 29
Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji