Opgelet! U moet voorzichtiger zijn bij het openen van een afbeeldingsbestand op uw smartphone, dat u van internet of via berichten of e-mailtoepassingen hebt ontvangen.
ΝMet slechts één afbeelding kan uw Android-smartphone kwaadaardige code uitvoeren die verborgen is in het afbeeldingsbestand, dankzij drie recentelijk geïdentificeerde kritieke kwetsbaarheden die van invloed zijn op miljoenen apparaten waarop zelfs de nieuwste versies van het besturingssysteem van Google worden uitgevoerd, van Android 7.0 Nougat tot het huidige Android 9.0 Taart.
Kwetsbaarheden, geïdentificeerd als CVE-2019-1986, CVE-2019-1987 en CVE-2019-1988, zijn door Google verholpen in Android Open Source (AOSP) als onderdeel van de Android-beveiligingsupdate.
Omdat echter niet elke fabrikant van mobiele apparaten elke maand beveiligingsupdates distribueert, is het moeilijk te bepalen of uw Android-apparaat deze beveiligingsupdates krijgt kort voordat u het slachtoffer wordt van dit beveiligingslek.
Hoewel de technici van Google nog geen technische details hebben onthuld om deze kwetsbaarheden te verklaren, noemen Changelog-updates ze "bufferoverloop"-fixes, "SkPngCodec-fouten" en PNG-gerelateerde fouten.
Volgens Google zou een van de drie kwetsbaarheden, die Google als de meest ernstige beschouwde, ertoe kunnen leiden dat een kwaadaardig Portable Network Graphics (.PNG)-afbeeldingsbestand kwaadaardige code uitvoert op kwetsbare Android-apparaten. Volgens Google is "het ernstigste van deze problemen is een kritiek beveiligingslek waardoor een indringer op afstand een speciaal verwerkt PNG-bestand kan gebruiken om kwaadaardige code uit te voeren als systeembeheerder."
Een indringer op afstand kan misbruik maken van dit beveiligingslek door gebruikers op verschillende manieren eenvoudigweg te vragen een PNG-afbeeldingsbestand (dat met het blote oog onmogelijk te detecteren is) op hun apparaten te openen, dat ze via de berichtenservice of een applicatie-e-mail hebben ontvangen.
Met inbegrip van deze drie fouten, heeft Google in totaal 42 beveiligingsproblemen in zijn Android-besturingssysteem verholpen, waarvan 11 kritieke, 30 risicovolle en één matige.
Google heeft gezegd dat het geen meldingen heeft van actieve exploitatie of ernstig misbruik van een van de kwetsbaarheden die worden vermeld in het beveiligingsbulletin van februari.
Google zei ook dat het zijn partners een maand voor publicatie op de hoogte had gesteld van alle kwetsbaarheden, en voegde eraan toe dat "de broncode voor deze problemen de komende 48 uur zal worden vrijgegeven aan AOSP-opslag (Android Open Source Project).
[the_ad_group id = ”966 ″]
