זְהִירוּת! צריך להיזהר יותר בפתיחת קובץ תמונה בסמארטפון, שקיבלת מהאינטרנט או דרך הודעות או אפליקציות דואר אלקטרוני.
Νעם תמונה אחת בלבד, סמארטפון האנדרואיד שלך יכול להפעיל קוד זדוני מוסתר בתוך קובץ התמונה, הודות לשלוש נקודות תורפה קריטיות שזוהו לאחרונה המשפיעות על מיליוני מכשירים המריצים אפילו את הגרסאות העדכניות ביותר של מערכת ההפעלה של גוגל, מאנדרואיד 7.0 נוגט ועד אנדרואיד 9.0 הנוכחית פַּאִי.
נקודות התורפה, שזוהו כ-CVE-2019-1986, CVE-2019-1987 ו-CVE-2019-1988, תוקנו ב-Android Open Source (AOSP) על ידי גוגל כחלק מעדכון האבטחה של Android.
עם זאת, מכיוון שלא כל יצרנית מכשירים ניידים מפיצה עדכוני אבטחה מדי חודש, קשה לקבוע אם מכשיר האנדרואיד שלך יקבל עדכוני אבטחה אלה זמן קצר לפני שתיפלי קורבן לפגיעות זו.
למרות שמהנדסי גוגל עדיין לא חשפו פרטים טכניים כדי להסביר את הפגיעויות הללו, עדכוני Changelog מתייחסים אליהם כאל תיקוני "צפת מאגר", "שגיאות SkPngCodec" ושגיאות הקשורות ל-PNG.
לפי גוגל, אחת משלוש נקודות התורפה, שגוגל ראתה החמורות ביותר, עלולה לאפשר לקובץ תמונה זדוני Portable Network Graphics (.PNG) לבצע קוד זדוני במכשירי אנדרואיד פגיעים. לדברי גוגל, "החמור ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר לפורץ מרוחק להשתמש בקובץ PNG מעובד במיוחד כדי להפעיל קוד זדוני כמנהל מערכת."
פולש מרוחק יכול לנצל את הפגיעות הזו פשוט על ידי הנחיה למשתמשים בדרכים שונות לפתוח קובץ תמונת PNG (שאותו בלתי אפשרי לזהות בעין בלתי מזוינת) במכשירים שלהם, אותו הם קיבלו דרך שירות ההודעות או אפליקציה.
כולל שלושת הפגמים הללו, גוגל תיקנה סך של 42 פרצות אבטחה במערכת ההפעלה אנדרואיד שלה, 11 מהן קריטיות, 30 בסיכון גבוה ואחת בינונית.
גוגל אמרה שאין לה דיווחים על ניצול פעיל או שימוש לרעה חמור באף אחת מהחולשות המפורטות בעלון האבטחה שלה בפברואר.
גוגל גם אמרה שהיא הודיעה לשותפיה על כל הפגיעויות חודש לפני הפרסום, והוסיפה כי "קוד המקור לבעיות אלה ישוחרר לאחסון AOSP (Android Open Source Project) ב-48 השעות הקרובות".
[the_ad_group id = ”966 ″]
