Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Strona główna Aktualności06.02.2019 19:33 Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Android podatny na atak. Wystrzegaj się filmów z nieznanych źródeł 24 lip 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 48 Android z łatwym przesyłaniem plików. Xiaomi, Oppo i Vivo kopiują AirDrop z iOS 19 sie 2019 Anna Rymsza Oprogramowanie 9 Microsoft: rosyjscy hakerzy używali urządzeń IoT do przeprowadzania ataków 6 sie 2019 Bolesław Breczko Sprzęt 25 UseCrypt Messenger to najbezpieczniejszy komunikator na rynku. Tych zabezpieczeń nie złamiesz 8 paź 2019 Arkadiusz Stando Oprogramowanie Bezpieczeństwo 483
Udostępnij: O autorze Anna Rymsza @Xyrcon Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki. Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG. Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod. Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji