Androidowcy śmiali się ostatnio z tego, jak łatwo można było podsłuchać użytkowników aplikacji FaceTime w iPhone’ach, ale niedługo później w sieci pojawiły się informacje o poważnej luce w zabezpieczeniach, która dotyczy tylko użytkowników smartfonów z systemem Google. Był on przez jakiś czas kompletnie bezbronny wobec złośliwych plików PNG.
Problem został po raz pierwszy upubliczniony na łamach Google Security Bulletin. Spora luka w zabezpieczeniach Androida może pozwolić hakerowi na uruchomienie nieautoryzowanego kodu na naszym urządzeniu przy użyciu specjalnie spreparowanego pliku PNG. Na pierwszy rzut oka taki obrazek może wyglądać kompletnie nieszkodliwie.
Google poinformowało wszystkich partnerów korzystających z Androida w produkowanych przez siebie urządzeniach na miesiąc przed opublikowaniem tego raportu. Firma oświadczyła także, że nie spotkała się nawet z pojedynczym przypadkiem wykorzystania omawianej luki przez nieodpowiednie osoby. Może dlatego, że by uruchomić złośliwy kod, trzeba wcześniej wyłączyć większość zabezpieczeń Androida, domyślnie uruchomionych na każdym urządzeniu.
Gigant z Mountain View ze swojej strony załatał już niebezpieczną lukę w systemie. Kolejny ruch należy jednak do producentów smartfonów, którzy muszą naprawić „złośliwy gen” Androida za pomocą aktualizacji zawierającej odpowiednie poprawki.
Google jest chyba bardzo pozytywnie nastawione do sumienności producentów smartfonów pod tym względem. Prawda jest taka, że niewielu z nich stara się dostarczać poprawki bezpieczeństwa na tyle regularnie, by jednomiesięczny bufor czasowy był wystarczający. Większość telefonów z Androidem jeszcze przez jakiś czas nie będzie całkowicie uodporniona na ataki za pośrednictwem spreparowanych plików PNG. Dobrze, że niebezpieczeństwo nie jest duże, bo żeby się na nie wystawić, musielibyśmy wyłączyć wszystkie systemy ochronne systemu.
Do czasu otrzymania łatek bezpieczeństwa od producenta naszego smartfona z Androidem, niektórzy pewnie będą mieć obawy przed otwieraniem plików PNG. Osobiście mi to nie przeszkadza, byle tylko hakerzy trzymali się z dala od GIF-ów ;)
Dla porządku, trzeba wspomnieć, że Apple usunęło już błąd FaceTime za pomocą aktualizacji iOS 12.1.4.
źródło: Android Security Bulletin przez Tech2
