فقط با دیدن یک عکس PNG، گوشی اندروید شما هک می‌شود

شما در هنگام باز کردن یک فایل تصویری از طریق سایت‌های اینترنتی، ایمیل یا در شبکه‌های اجتماعی توسط گوشی هوشمند اندرویدی خود، باید کاملا مراقب باشید که توسط هکرها مورد نفوذ قرار نگیرید. بله، تنها نگاه کردن به یک عکس با کُدهای مخرب پشت آن، به‌موجب سه آسیب‌پذیری خطرناک در سیستم عامل اندروید، نفوذگران را قادر می‌سازد تا به گوشی شما نفوذ کنند. متاسفانه این آسیب‌پذیری‌ها از نسخه‌ی اندروید ۷ نوقا تا نسخه‌ی اندروید ۹ پای وجود دارد.

آسیب‌پذیری‌های جدید اندروید که با شناسه‌های CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 معرفی شده‌اند، در پروژه‌ی اندروید متن‌باز (AOSP) در ابتدای ماه فوریه رفع شده‌اند؛ اما با توجه به اینکه تمام سازندگان گوشی‌های هوشمند مبتنی بر سیستم عامل اندروید، هرماه وصله‌های امنیتی را برای گوشی‌های خود منتشر نمی‌کنند، تعیین اینکه دستگاه شما این وصله‌ها را دریافت می‌کند یا نه، کمی دشوار است.

گرچه متخصصان گوگل هنوز هیچ‌گونه جزئیات فنی برای آسیب‌پذیری‌های جدید اندروید منتشر نکرده‌اند؛ اما مشخص است که به‌روز‌رسانی‌ها برای رفع آسیب‌پذیری سرریز بافر از نوع Heap Heap Buffer Overflow هستند که در بخش کد SkPngCodec و برخی اجزایی است که وظیفه‌ی نمایش و رندر تصاویر را بر عهده دارند. در توصیه‌های گوگل اعلام شده که یکی از سه آسیب‌پذیری فوق که اهمیت بیش‌تری دارد، امکان اجرای کدهای مخرب قرار داده شده در پشت یک عکس PNG در نسخه‌ی آسیب‌پذیر سیستم عامل اندرویدی را خواهد داشت. در ادامه می‌خوانیم گوگل در مورد یکی از آسیب‌پذیری‌ها که به نفوذگر اجازه می‌دهد توسط یک فایل عکس PNG مخرب، از راه دور دستوراتی را در سطح دسترسی بالا روی گوشی قربانی اجرا کند، حساسیت بیشتری به‌خرج می‌دهد.

علاوه بر سه آسیب‌پذیری یادشده، مهندسان گوگل در مجموع ۴۲ آسیب‌پذیری را در سیستم‌عامل اندروید برطرف کرده‌اند که از بین آن‌ها ۱۱ آسیب‌پذیری در سطح بحرانی، ۳۰ آسیب‌پذیری با درجه‌ی اهمیت بالا و یک آسیب‌پذیری در سطح اهمیت متوسط هستند. طبق اعلام گوگل تا‌کنون هیچ‌گونه سوء‌استفاده‌ای در سطح وسیع از این آسیب‌پذیری‌ها را در سطح دنیا مشاهده نشده همچنین یک ماه پیش، به شرکای گوگل در رابطه با این آسیب‌پذیری‌ها اطلاع داده شده است و تا ۴۸ ساعت آینده، سورس‌کد وصله‌ی امنیتی برای آسیب‌پذیری‌ها در AOSP منتشر خواهد شد.