Attenzione! Devi fare più attenzione quando apri un file immagine sul tuo smartphone, che hai ricevuto da Internet o tramite messaggi o applicazioni di posta elettronica.
ΝCon una sola immagine, il tuo smartphone Android può eseguire codice dannoso nascosto all'interno del file immagine, grazie a tre vulnerabilità critiche recentemente identificate che colpiscono milioni di dispositivi che eseguono anche le ultime versioni del sistema operativo di Google, da Android 7.0 Nougat, all'attuale Android 9.0 Torta.
Le vulnerabilità, identificate come CVE-2019-1986, CVE-2019-1987 e CVE-2019-1988, sono state corrette su Android Open Source (AOSP) da Google come parte dell'aggiornamento di sicurezza Android.
Tuttavia, poiché non tutti i produttori di dispositivi mobili distribuiscono aggiornamenti di sicurezza ogni mese, è difficile determinare se il tuo dispositivo Android riceverà questi aggiornamenti di sicurezza prima di cadere vittima di questa vulnerabilità.
Sebbene gli ingegneri di Google non abbiano ancora rivelato i dettagli tecnici per spiegare queste vulnerabilità, gli aggiornamenti di Changelog si riferiscono a loro come correzioni di "buffer overflow", "errori SkPngCodec" ed errori relativi a PNG.
Secondo Google, una delle tre vulnerabilità, che Google considerava la più grave, potrebbe consentire a un file immagine dannoso di Portable Network Graphics (.PNG) di eseguire codice dannoso su dispositivi Android vulnerabili. Secondo Google, "il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire a un intruso remoto di utilizzare un file PNG appositamente elaborato per eseguire codice dannoso come amministratore di sistema."
Un intruso remoto potrebbe sfruttare questa vulnerabilità semplicemente chiedendo agli utenti in vari modi di aprire un file immagine PNG (impossibile da rilevare ad occhio nudo) sui propri dispositivi, che hanno ricevuto tramite il servizio di messaggistica o un'applicazione email.
Compresi questi tre difetti, Google ha corretto un totale di 42 vulnerabilità di sicurezza nel suo sistema operativo Android, di cui 11 critici, 30 ad alto rischio e uno moderato.
Google ha affermato di non avere segnalazioni di sfruttamento attivo o grave abuso di nessuna delle vulnerabilità elencate nel bollettino sulla sicurezza di febbraio.
Google ha anche affermato di aver notificato ai suoi partner tutte le vulnerabilità un mese prima della pubblicazione, aggiungendo che "il codice sorgente per questi problemi verrà rilasciato nello spazio di archiviazione AOSP (Android Open Source Project) nelle prossime 48 ore".
[l'id_gruppo_di_annunci = ”966 ″]
