هک شدن گوشی‌های آندروید تنها با اجرای فایل‌های PNG

شما هم از سیستم عامل آندروید استفاده می کنید؟

آگاه باشید! به هنگام بازکردن عکس هایی که از اینترنت یا از طریق برنامه های پیام رسان یا مدیریت ایمیل دانلود کرده اید باید بیشتر حواستان را جمع کنید.

 با کشف ۳ نقطه ضعف جدید و خطرناک در سیستم عامل گوگل در نسخه های جدید آن (از آندروید ۷.۰ Nougat گرفته تا ۹.۰ Pie) مشخص شد که فقط با نگاه کردن به عکسی به ظاهر بی خطر، ممکن است گوشی شما هک شود.

گوگل برای رفع نقطه ضعف هایی که با نام های CVE-2019-1986, CVE-2019-1987, و CVE-2019-1988 شناخته می ­شوند، آپدیت امنیتی فوریه را  برای AOSP ها(نسخه های سورس­ کد باز آندروید) عرضه کرد.

از آنجایی که تمامی سازندگان نسخه های دست ساز، بسته های امنیتی را ماهانه عرضه نمی­ کنند، سخت می­ توان فهمید گوشی شما این بسته ها را دریافت خواهد کرد یا  نه.

با وجود اینکه هنوز مهندسین گوگل هیچ توضیح فنی در رابطه با این نقص ها ارائه نکرده اند، در نسخه­ جدید نوشته شده “heap buffer overflow flaw” (ایراد سرریز بافر) ، “errors in SkPngCodec” (خطاهای موجود در کدک های PNG) و خطاهای موجود در برنامه­ های مکملی که تصاویر PNG را رندر می ­کنند.

به گفته یک منبع ناشناس، یکی از این سه نقص، که گوگل آن را خطرناک­ترین تهدید قلمداد می­ کند، امکان اجرای دستوراعمل های مخرب و آسیب رساندن به دستگاه قربانی، از طریق فایلی مخرب با فرمت PNG را فراهم می ­کند.

گوگل اعلام کرده که خطرناک ترین مورد در بین آنها نقطه ضعفی اساسی در فریم ورک است، که مهاجم به واسطه آن می­ تواند فایل PNG مخربی طراحی کند و دستورالعمل­های آن با دیگر فرایندهای مرتبط اجرا می­شوند. مهاجم با حیله، کاری می­کند تا کاربر فایل مخرب ( که با چشم غیر مسلح قابل تشخیص نیست) را در موبایل خود باز کند. این فایل را می­ توان از طریق برنامه های پیام رسان یا مدیریت ایمیل ارسال کرد.

گوگل اعلام کرده مجموعا ۴۲ نقطه ضعف امنیتی در سیستم عامل آندروید وجود دارد که از این بین ۱۱ مورد آن بشدت خطرناک، ۳۰ مورد دارای شدت خطر بالا می باشند و یک مورد آن کمی خطرناک است.

این غول تکنولوژی تاکید کرده هیچ سوءاستفاده­ای مرتبط با نقطه ضعف های یاد شده در اطلاعیه امنیتی فوریه، گزارش نشده است.

علاوه بر این گوگل اعلام کرده که یک ماه قبل از عرضه آپدیت جدید، تمامی شرکای آندروید را در جریان این نقطه ضعف­ ها قرار داده و اضافه کرد بسته الحاقی سورس ­کد، به منظور رفع این ایرادات ،طی ۴۸ ساعت برای (AOSP) ها ارائه خواهد شد.

نظرات

نظر (به‌وسیله فیس‌بوک)