Ολοφάνερα πια χωρίς να διαφωνούν πολλοί, τα smartphones τείνουν ή καλύτερα έχουν ήδη γίνει σημαντικό μέρος της καθημερινότητάς μας αφού μέσω αυτών κάνουμε τα πάντα, όπως π.χ. δεκάδες οικονομικές συναλλαγές και για αυτό οι hackers ψάχνουν τρόπους να αποκτήσουν πρόσβαση σε αυτές για δικό τους όφελος. Αυτός είναι ο λόγος για τον οποίο είναι τόσο σημαντικό τα smartphones να λαμβάνουν τακτικές ενημερώσεις ασφαλείας και έτσι οι προγραμματιστές του λειτουργικού συστήματος για να εντοπίζουν τρωτά σημεία και να τα διορθώνουν το συντομότερο δυνατό.
Ευτυχώς, αυτό συνέβη στην περίπτωση ενός νέου προβλήματος που βρέθηκε από την ομάδα ασφάλειας του Android. Μέσω Δελτίο Τύπου, η ομάδα του Android μίλησε και είπε για την όλη ευπάθεια: “θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να χρησιμοποιήσει ένα ειδικά επεξεργασμένο αρχείο PNG για να εκτελέσει τον αυθαίρετο κώδικα στο πλαίσιο μιας προνομιακής διαδικασίας”.
Τα αρχεία PNG, για όσους δεν είναι εξοικειωμένα με τη μορφή, χρησιμοποιούνται για εικόνες ή φωτογραφίες και χρησιμοποιούνται συνήθως λόγω του καλύτερου τρόπου συμπίεσης σε σύγκριση με αρχεία JPG. Αυτό σημαίνει ότι μπορούν να μοιραστούν εύκολα μεταξύ χρηστών μέσω διαφόρων εφαρμογών ανταλλαγής μηνυμάτων. Σύμφωνα με την αναφορά, ήταν δυνατό για έναν αρκετά ικανό κωδικοποιητή να επισυνάψει κώδικα στο αρχείο εικόνας που θα εκτελεστεί μόλις το ανοίξει ο χρήστης. Ο κώδικας θα είναι επίσης σε θέση να έχει πρόσβαση στις κύριες διαδικασίες του λειτουργικού συστήματος και ενδεχομένως να τις αλλάζει με τρόπο που να είναι επωφελής για τον εισβολέα.
Αν αυτό ακούγεται τρομακτικό πιστέψτε μας πως είναι όλα έτσι ακριβώς. Η μη εξουσιοδοτημένη πρόσβαση root σε μια συσκευή μπορεί να προκαλέσει κάθε είδους προβλήματα στον χρήστη. Ευτυχώς, το πρόβλημα εντοπίστηκε πριν από την εμφάνιση τυχόν αναφορών σχετικά με την πρακτική χρήση της ευπάθειας και την παροχή μιας ενημέρωσης κώδικα με την τελευταία ενημερωμένη έκδοση ασφαλείας για το Android. Οι ενημερωμένες εκδόσεις ασφαλείας που εκδόθηκε στις 5/2/2019 ή νεότερη περιλαμβάνει την επιδιόρθωση για αυτήν την ευπάθεια.
Φυσικά, η ομάδα ασφάλειας δεν εκδίδει συγκεκριμένες πληροφορίες σχετικά με το πώς θα μπορούσε να λειτουργήσει το όλο θέμα.
[via]