Reading Time: 2 minutes

Nova falha RCE descoberta no Android. O SO da Google pode ser comprometido apenas “visualizando” uma imagem PNG.

É necessário ter mais cautela ao abrir um ficheiro de imagem PNG no dispositivo móvel, sendo ele descarregado da Internet ou recebido por meio de aplicações móveis, como o WhatsApp, Signal, Telegram, cliente de email, etc.

Segundo os especialistas, basta ver uma imagem aparentemente inofensiva para que o um dispositivo Android seja hackeado.

O comprometimento acontece graças a três vulnerabilidades críticas recém-descobertas e que afetam milhões de dispositivos que executam versões recentes do sistema operativo móvel do Google, desde o Android 7.0 Nougat até o atual Android 9.0 Pie.

As três vulnerabilidades, identificadas como CVE-2019-1986, CVE-2019-1987, and CVE-2019-1988 foram corrigidas no Android Open Source Project (AOSP)  da Google como parte do update de segurança de fevereiro de 2019.

rce

 

No entanto, como nem todos os fabricantes de smartphones lançam patches de segurança todos os meses, é difícil  estimar quando é que os smartphones das dos utilizadores estarão totalmente protegidos.

Embora os engenheiros do Google ainda não tenham revelado detalhes técnicos que expliquem as vulnerabilidades, as atualizações mencionam “heap buffer overflow flaw,”, “erros no SkPngCodec” e erros em alguns componentes que processam imagens PNG.

Segundo a Google, uma das três vulnerabilidades pode permitir que a aberta de uma imagem PNG execute código remoto arbitrário no dispositivo da vítima.

According to the advisory, one of the three vulnerabilities, which Google considered to be the most severe one, could allow a maliciously crafted Portable Network Graphics (.PNG) image file to execute arbitrary code on the vulnerable Android devices.

“The most severe of these issues is a critical security vulnerability in Framework that could allow a remote attacker using a specially crafted PNG file to execute arbitrary code within the context of a privileged process.”

 

Um atacante remoto pode explorar esta vulnerabilidade enganando os utilizadores de forma a que eles abram um ficheiro PNG criado com código malicioso (impossível de detectar a olho nu).

Esse ficheiro pode ser descarregado de alguma website da Internet ou partilhado via algum serviço de mensagens ou através de email.

Incluindo essas três falhas, o Google corrigiu um total de 42 vulnerabilidades de segurança, 11 das quais são classificadas como críticas, 30 muito grave e uma moderada.

A Google disse ainda que notificou todos os fornecedores Android e parceiros 1 mês antes da vulnerabilidade ter sido publicada.