Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG

Choć zwykle złą sławą cieszą się pliki PDF, nie jest to jedyny format, który można wykorzystać do ataku. Smartfony z Androidem można zaatakować plikiem graficznym w formacie PNG, pobranym ze strony, dostarczonym e-mailem lub przez komunikator. Podatność została już zabezpieczona w Android Open Source Project (AOSP), ale wiele modeli smartfonów nie dostało łatki.

Podatne są wersje Androida od 7.0 Nougat do 9.0 Pie. Opisy ataku wymieniają luki: CVE-2019-1986, CVE-2019-1987 i CVE-2019-1988. Trudno powiedzieć, które smartfony zostały już zabezpieczone. Na szczęście Google nie ujawnił jeszcze szczegółów technicznych ataku i nie ma doniesień o skutecznym jej wykorzystaniu. Nie wiemy też, która luka jest główną „furtką”. W opisie naprawionych błędów Google wymienia dość ogólnikowo przepełnienie stosu bufora, błędu w SkPngCodec i komponentach renderujących obrazy PNG.

Wykorzystując podatność systemu i specjalnie przygotowany plik PNG, atakujący mogą zlecić wykonanie własnego kodu na Androidzie. Proces zostałby uruchomiony z takimi samymi uprawnieniami, jak program, w którym plik został wyświetlony. W efekcie wystarczy przekonać użytkownika, by otworzył plik PNG na swoim telefonie, by uruchomić malware. Przy pobieraniu i oglądaniu obrazu nic nie wskazuje na to, że zaszyty jest w nim dodatkowy kod.

Wielu producentów nie wysyła aktualizacji bezpieczeństwa co miesiąc i bazuje na własnym harmonogramie, co powoli ulega zmianie. Wymienione wyżej luki znajdują się na pewno na liście naprawionych w lutowej aktualizacji EMUI na telefonach Huawei (i Honor). W sumie paczka zawiera 42 poprawki, z czego 11 zostało oznaczonych jako krytyczne.