فقط با دیدن یک عکس PNG، گوشی اندروید شما هک میشود
آیا از گوشی اندرویدی استفاده میکنید؟ مراقب باشید، چرا که بهموجب باگ جدید اندروید، حتی با باز کردن یک عکس، امکان نفوذ به گوشی شما توسط هکرها وجود دارد.
شما در هنگام باز کردن یک فایل تصویری از طریق سایتهای اینترنتی، ایمیل یا در شبکههای اجتماعی توسط گوشی هوشمند اندرویدی خود، باید کاملا مراقب باشید که توسط هکرها مورد نفوذ قرار نگیرید. بله، تنها نگاه کردن به یک عکس با کُدهای مخرب پشت آن، بهموجب سه آسیبپذیری خطرناک در سیستم عامل اندروید، نفوذگران را قادر میسازد تا به گوشی شما نفوذ کنند. متاسفانه این آسیبپذیریها از نسخهی اندروید ۷ نوقا تا نسخهی اندروید ۹ پای وجود دارد.
آسیبپذیریهای جدید اندروید که با شناسههای CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 معرفی شدهاند، در پروژهی اندروید متنباز (AOSP) در ابتدای ماه فوریه رفع شدهاند؛ اما با توجه به اینکه تمام سازندگان گوشیهای هوشمند مبتنی بر سیستم عامل اندروید، هرماه وصلههای امنیتی را برای گوشیهای خود منتشر نمیکنند، تعیین اینکه دستگاه شما این وصلهها را دریافت میکند یا نه، کمی دشوار است.
گرچه متخصصان گوگل هنوز هیچگونه جزئیات فنی برای آسیبپذیریهای جدید اندروید منتشر نکردهاند؛ اما مشخص است که بهروزرسانیها برای رفع آسیبپذیری سرریز بافر از نوع Heap Heap Buffer Overflow هستند که در بخش کد SkPngCodec و برخی اجزایی است که وظیفهی نمایش و رندر تصاویر را بر عهده دارند. در توصیههای گوگل اعلام شده که یکی از سه آسیبپذیری فوق که اهمیت بیشتری دارد، امکان اجرای کدهای مخرب قرار داده شده در پشت یک عکس PNG در نسخهی آسیبپذیر سیستم عامل اندرویدی را خواهد داشت. در ادامه میخوانیم گوگل در مورد یکی از آسیبپذیریها که به نفوذگر اجازه میدهد توسط یک فایل عکس PNG مخرب، از راه دور دستوراتی را در سطح دسترسی بالا روی گوشی قربانی اجرا کند، حساسیت بیشتری بهخرج میدهد.
علاوه بر سه آسیبپذیری یادشده، مهندسان گوگل در مجموع ۴۲ آسیبپذیری را در سیستمعامل اندروید برطرف کردهاند که از بین آنها ۱۱ آسیبپذیری در سطح بحرانی، ۳۰ آسیبپذیری با درجهی اهمیت بالا و یک آسیبپذیری در سطح اهمیت متوسط هستند. طبق اعلام گوگل تاکنون هیچگونه سوءاستفادهای در سطح وسیع از این آسیبپذیریها را در سطح دنیا مشاهده نشده همچنین یک ماه پیش، به شرکای گوگل در رابطه با این آسیبپذیریها اطلاع داده شده است و تا ۴۸ ساعت آینده، سورسکد وصلهی امنیتی برای آسیبپذیریها در AOSP منتشر خواهد شد.