Android to system nie do końca nastawiony na pełne bezpieczeństwo, a przynajmniej nie tak, jak produkty konkurencji. W przeszłości dziury typu Meltdown i Spectre (oraz ich warianty Prime), Blueborne, czy RAMpage dało się jeszcze jakoś zrozumieć. Tutaj wina leżała nie tylko po stronie Google, a nawet głównie po stronie producentów podzespołów lub standardu Bluetooth. Jednak obecną lukę, która pozwala zhackować nasz telefon przy pomocy obrazka PNG (!!!) pojąć już jest trudniej…

Porównać to możemy m.in. do QuadRootera, gdzie dziura była w samym systemie (ale i podzespołach). Albo luki w powiadomieniach toast – tutaj winny w całości jest system.

Jednak tamte luki większości mogą się wydawać „niewielkie” albo zbyt problematyczne do przeprowadzenia ataku. Teraz wystarczył „głupi” obrazek… Przypomina to lukę w iOSie, gdzie do włamu posłużyć mógł obrazek JPEG lub plik PDF. Także i sposób działania jest bardzo podobny, jak nie identyczny.

Metodologia

Nie znamy dokładnie metody ataku. Tego Google nie udostępniło. I dobrze…

Wiemy jednak, że atak polegał na uruchomieniu obrazka zawierającego złośliwy kod. Kod był wykonywany jako proces ze wszelkimi wymaganymi pozwoleniami. Dzięki temu system w żaden sposób go nie blokował i „zgadzał” się na wszelkie, wprowadzane już zdanie, modyfikacje.

Luka znajdowała się w frameworku systemu w trzech (5) ostatnich wersjach systemu – Androidzie 7.x Nougat (7.0 i 7.1), 8.x Oreo (8.0.0 i 8.1) oraz 9.x Pie (9.0). Wskazują na to poprawki – wady przepełnienia bufora, błędów w SkPngCodec oraz komponentów odpowiedzialnych za renderowanie obrazów PNG.

Poprawki

Błędy były trzy i wszystkie zostały poprawione. Uzyskały kolejne numery:

  • CVE-2019-1986,
  • CVE-2019-1987,
  • CVE-2019-1988.

PNG

Poprawki zawarte zostały w lutowych poprawkach zabezpieczeń – także tych datowanych na 1 lutego.
Dlatego nowa wersja zabezpieczeń jest ważna i dziwi nas opóźnienie Sony w postępie ich wyjścia dla kolejnych modeli – zwłaszcza flagowych. Na szczęście na dzień dzisiejszy wiele urządzeń Xperia lutowe poprawki już otrzymała.

Źródło: Android Source

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.