Google rapporterade nyligen en seriös bugg i deras Android-operativsystem: En ny method kan tillåta hackare att attackera din telefon via skadliga PNG-bilder. Allt som krävs är att du tittar på, eller får skickad, en preparerad bild. Google har släppt en patch men det är omöjligt att svara på när telefontillverkarna får ut denna till användarna.

 

PNG-sårbarhet kan skada din mobil

Det har visat sig att din Android-mobil kan hackas bara genom att titta på en bild. Bland de sårbarheter som Google släppte i samband med deras Android-säkerhetsbulletin nu i februari, kan tre stycken användas för att ta över din telefon via en preparerad PNG-fil. Sårbarheterna identifieras som CVE-2019-1986, CVE-2019-1987 samt CVE-2019-1988.

Den mest kritiska sårbarheten beskrivs i bulletinen som följer.

“The most severe of these issues is a critical security vulnerability in Framework that could allow a remote attacker using a specially crafted PNG file to execute arbitrary code within the context of a privileged process”.

Detta innebär att allt som krävs för att du ska bli ett offer är att du råkar öppna fel bild. Att det inte finns ett sätt att se om en bild är preparerad eller inte gör det ännu allvarligare.

Ingen information om hur sårbarheterna fungerar rent tekniskt har officiellt släppts av Google. Dock nämner sårbarheterna heap buffer overflow-fixes, felaktigheter i PNG-codecs samt buggar i renderingsmotorn för PNG-filer.

 

Patcher kan ta tid

Sårbarheterna har patchats i Googles Android Open Source Project (AOSP), vilken alla Android operativsystem baseras på. Google förtydligar även att inget aktivt utnyttjande av sårbarheterna har observerats. Dock är det omöjligt att svara på när uppdateringar kommer appliceras av telefontillverkare och därav nå användaren.

Tills dess att en slutgiltig patch når användaren rekommenderar CYPRO att vara försiktig i vilka meddelanden och mail du öppnar. Blockering av fjärrinnehåll i din mailklient kan också stärka din säkerhet.

 

Av Max Kardos, CYPRO.

 

Leave a Reply

Your email address will not be published. Required fields are marked *