Már egy fotóval is megfertőzhető az Androidok jelentős része



A Google kénytelen volt nagytakarítást tartani a héten, ugyanis miután a Check Point közel 500 fertőzött alkalmazást és 2 millió potenciális áldozatot fedezett fel az Android platform háza táján, két kritikus sebezhetőségre is fény derült, amivel a támadók könnyedén eltéríthetik a felhasználók okostelefonjait és táblagépeit.

Androbit a Facebookon


Az egyik ilyen sebezhetőség (CVE-2016-3861) a Google egyik biztonsági kutatója, Mark Brand szerint az „extrém kritikus” kategóriába sorolható, ugyanis segítségével a támadók kártevőket futtathatnak és magasabb jogosultsági szintekre tehetnek szert a sérülékeny készülékeken. A Nexus okostelefonok sebezhetőségének tesztelésére egy exploitot is kiadtak, de leszögezik, hogy a megoldás valós támadási körülmények között csak jelentős továbbfejlesztéssel és kutatással állja meg a helyét. Brand nem közölte, hogy a platform hány kiadás óta érintett ebben a sebezhetőségben, de sejthető, hogy nem új keletű a dolog.

A másik kritikus sebezhetőség (CVE-2016-3862) még az előbbinél is érdekesebb, ugyanis egy olyan módon teszi támadhatóvá az érintett eszközöket, amiről sokan nem is álmodnának: JPEG képek segítségével. A támadóknak csupán annyi a dolguk, hogy egy JPEG képfájl Exif információiban elhelyezzék a fertőző kódjukat, majd a képet elküldjék a célpontoknak kijelölt felhasználóknak. A problémát súlyosbítja, hogy a potenciális áldozatoknak meg sem kell nyitniuk a képet, ugyanis az Android előfeldolgozó megoldása már azelőtt értelmezi a képet és a benne található Exif információkat, mielőtt a felhasználó egyáltalán láthatná azt.

Összességében tehát két nagyon súlyos sérülékenységről beszélhetünk, amik az Androidot futtató eszközök túlnyomó többségét érintik. Bár a Google a héten mindkettőt orvosolta, még nincs okunk a nyugalomra, ugyanis a sebezhetőségeket javító frissítés még a Nexus-készülékekre is csupán később érkezik meg, a más gyártók által kiadott eszközök jelentős része pedig meg sem kapja a javítást.

Forrás: Ars Technica