Владельцам Android-устройств следует быть начеку, поскольку невинное на первый взгляд изображение, полученное в соцсети, может скомпрометировать смартфон.
Во вторник, 6 сентября, Google выпустила плановые обновления для Android, в том числе исправляющие уязвимости Quadrooter. Однако еще раньше, 1 сентября, компания исправила до сих пор неизвестную критическую уязвимость, обнаруженную ИБ-экспертом из SentinelOne Тимом Страццере (Tim Strazzere).
Уязвимость напоминает печально известную Stagefright, позволявшую взломать Android-устройство с помощью простого текстового сообщения, причем пользователь мог даже не знать о его получении. Теперь, для того чтобы осуществить атаку, злоумышленнику достаточно лишь отправить вредоносное фото. Пользователю даже не нужно на него нажимать – пока телефон анализирует данные изображения, удаленный злоумышленник может незаметно получить контроль над устройством.
Уязвимость CVE-2016-3862 существует из-за ошибки при обработке EXIF-данных в приложении Mediaserver. «Для эксплуатации уязвимости не требуется большого участия пользователя – достаточно, чтобы приложение определенным образом загрузило изображение. Проэксплуатировать уязвимость также просто, как получить от кого-то сообщение или электронное письмо. Как только приложение начинает анализ изображения (это происходит автоматически), возникает уязвимость», - пояснил эксперт.
По словам исследователя, злоумышленник может внедрить в отсылаемое жертве изображение простой эксплоит. Эксперт написал эксплоит для уязвимых устройств и, как оказалось, он работает для Gchat, Gmail и приложений популярных соцсетей. Уязвимость затрагивает все устройства, работающие под управлением версий Android от 4.4.4 до 6.0.1.
