گوشی‌های دارای سیستم‌عامل اندروید می‌توانند تنها با نگاه کردن به یک عکس دارای پسوند PNG موردحمله واقع شوند.

آیا از یک دستگاه دارای سیستم‌عامل اندروید استفاده می‌کنید؟

مراقب باشید! شما باید در هنگام باز کردن یک فایل تصویری بر روی گوشی هوشمند خود، که از هر محلی در اینترنت گرفته شده یا از طریق پیام یا برنامه‌های پست الکترونیک دریافت شده است، با احتیاط بیشتری عمل کنید.

بله، فقط با مشاهده یک تصویر به‌ظاهر بی‌خطر می‌تواند گوشی هوشمند اندروید شما هک شود، به لطف سه آسیب‌پذیری جدیداً کشف‌شده که میلیون‌ها دستگاه در حال اجرای نسخه‌های اخیر سیستم‌عامل تلفن همراه گوگل، از اندروید نسخه ۷٫۰ مدل Nougat تا اندروید نسخه ۹٫۰ مدل Pie را تحت تأثیر قرار می‌دهد.

این آسیب‌پذیری‌ها که به‌ نام‌های CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 شناسایی‌شده‌اند، توسط گوگل به‌عنوان بخشی از به‌روزرسانی امنیتی اندروید در فوریه ۲۰۱۹ وصله شدند[۱].

بااین‌حال، ازآنجایی‌که هر سازنده گوشی هرماه از وصله‌های امنیتی استفاده نمی‌کند، تعیین اینکه آیا دستگاه شما این وصله‌های امنیتی را دریافت کرده است یا نه، دشوار است.

گرچه مهندسان گوگل هنوز هیچ جزئیات فنی را برای توضیح این آسیب‌پذیری‌ها منتشر نکرده‌اند، این به‌روزرسانی‌ها اشاره به اصلاح “نقص سرریز بافر”، “خطاهای SkPngCodec” و اشکالات در برخی از اجزاء^(۱) دارند که تصاویر PNG را render می‌کنند.

بر اساس این گزارش، یکی از این سه آسیب‌پذیری که گوگل آن را شدیدتر می‌داند، می‌تواند به یک فایل تصویری با پسوند PNG اجازه دهد تا یک کد دلخواه را بر روی دستگاه‌های اندروید آسیب‌پذیر اجرا کند.

همان‌طور که گوگل می‌گوید، “شدیدترین موارد این نقص‌ها، یک آسیب‌پذیری امنیتی بحرانی در framework است که می‌تواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک فایل PNG دستکاری‌شده یک کد دلخواه را در یک زمینه فرایند دارای امتیاز بالا^(۲) اجرا کند”.

یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری، فقط با فریب دادن کاربران به‌منظور باز کردن یک فایل تصویر PNG مخرب دستکاری‌شده (که غیرممکن است با چشم غیرمسلح تشخیص داده شود) در دستگاه‌های اندروید آن‌ها که از طریق سرویس پیام تلفن همراه و یا یک برنامه‌های پست الکترونیک ارسال شده است؛ بهره‌برداری کند.

به‌جز این سه نقص، گوگل درمجموع ۴۲ آسیب‌پذیری امنیتی را در سیستم‌عامل‌های تلفن همراه خود برطرف کرده است، که ۱۱ مورد آن‌ها دارای رده‌بندی بحرانی، و ۳۰ مورد با رده‌بندی بالا و ۱ مورد دارای شدت متوسط ​​بودند.

این غول فناوری تأکید کرد که هیچ گزارشی از بهره‌برداری فعال یا سوءاستفاده از هر یک از این آسیب‌پذیری‌ها در سطح اینترنت که در بولتن امنیتی فوریه ۲۰۱۹ منتشرشده‌اند، گزارش نشده است.

گوگل اعلام کرده است که یک ماه پیش از انتشار این آسیب‌پذیری‌ها، شرکای اندروید خود را از همه این آسیب‌پذیری‌ها مطلع کرده است و افزود: “منبع کد وصله‌ها برای این آسیب‌پذیری‌ها در ۴۸ ساعت آینده (از ۶ فوریه ۲۰۱۹) در منبع ذخیره‌سازی AOSP⁽³⁾ منتشر خواهد شد.”

منابع

[۱] https://thehackernews.com/2019/02/hack-android-with-image.html

[۲] https://source.android.com/security/bulletin/2019-02-01.html

(۱) components
(۲) context of a privileged process
(۳) Android Open Source Project