谷歌Android藏重大漏洞,波及多个版本,点图片就中招
Google在今年2月发布的Android安全更新中,修补了3个涉及PNG图片的重大漏洞,相关漏洞允许黑客在PNG中植入恶意软件,用户只要点击PNG图片就能触发漏洞,被远程程序攻击。
PNG全名为Portable Network Graphics,是专为网络传输所设计的文件格式,并准备用来取代GIF。
根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客透过特制的PNG图片,在特权流程中执行任意程序,包括CVE-2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。
这代表Android用户只要点击可爱的猫、狗图片,或是看起来不错的风景照,都可能遭到远程攻击。
来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描述图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体格式。Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。
尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的沈北可直接取得Google的安全更新,至于其它品牌的手机或平板则仍要看设备制造商或电信运营商的更新时程才能取得修补,这意谓着仍有众多的Android设备陷于此一重大安全风险中。