Ifølge de seneste resultater fra Googles sikkerhedsteam kan det at se et uskyldigt udseende billede på din Android resultere i en hacket telefon.
optad_b
Senest Android-sikkerhedsbulletin , Google har detaljeret adskillige kritiske fejl i sit mobile operativsystem, herunder tre sårbarheder, der har at gøre med den måde, Android håndterer PNG-filer (Portable Network Graphic) på.
Ifølge Google “Den mest alvorlige af disse problemer er en kritisk sikkerhedssårbarhed i Framework, der kan gøre det muligt for en fjernangriber, der bruger en specielt udformet PNG-fil, at udføre vilkårlig kode inden for rammerne af en privilegeret proces.”
Hvad dette grundlæggende betyder, er at en ondsindet skuespiller kan sende dig en PNG-fil, der indeholder hemmelige kommandoer. Når du ser PNG-billedet i din telefon, udføres kommandoerne. “Privilegeret proces” betyder, at den ondsindede kode har adgang til alle funktionerne på din telefon. Teoretisk set kan et veldesignet angreb ved hjælp af fejlen overtage din telefon og udføre skadelige opgaver såsom installation af malware og stjæling af oplysninger.
Sårbarheden påvirker Android OS version 7.0 (Nougat) til 9.0 (Pie). Denne fejl er især farlig, fordi der er mindre følsomhed over mediefiler. Sikkerhedseksperter giver dig masser af advarsler om ikke at downloade og installere applikationer fra ukendte og ikke-tillidskilder, men mediefiler som billeder, lyd og videofiler betragtes generelt som uskadelige.
De gode og dårlige nyheder
Vi venter stadig på, at Google frigiver flere detaljer om sårbarhederne. Men ifølge sikkerhedsbulletin er der ingen tegn på aktiv kundeudnyttelse eller misbrug af de rapporterede problemer.
Google har også patchet fejlene i en opdatering til sine egne enheder. Det er gode nyheder for brugere, der ejer Google-producerede Pixel-telefoner. Den dårlige nyhed er for brugere, der har købt enheder fra andre leverandører, hvilket normalt tager lidt længere tid at udrulle patches.
Kendte mærker som Samsung og LG frigiver normalt opdateringer et par dage efter Google. Men mindre kendte leverandører kan tage uger i måneder.
Ikke første gang mediefiler er blevet våbnet
Mens den nyeste Android-fejl er temmelig skræmmende, er det ikke første gang, det mobile operativsystem har fjernet en sikkerhedsfejl, der udnytter mediefiler.
I 2014 opdagede forskere ved Fortinet, at de kunne kryptere malware inde i PNG-filer og skjul dem fra Google Plays malware-scanner. I en proof-of-concept-demonstration skjulte forskerne deres malware i en simpel billedvisningsapplikation. Da brugeren åbnede det malwareinficerede billede, hentede applikationen og dekrypterede malware inde fra billedet og installerede det på enheden.
I 2015 opdagede sikkerhedsforskere ved Zimperium en sårbarhed i Android version 2.2 og nyere, kodenavnet Stagefright , der gjorde det muligt for hackere at udføre fjernkodekørsel ved at sende videofiler til deres ofre. Mange messaging-apps behandler automatisk videoen, når de modtager den, så angrebet kunne initieres, uden at målet gjorde noget. På det tidspunkt blev det anslået, at mere end 900 millioner enheder var påvirket af sårbarheden.
Beskyt dig selv
Den bedste måde at beskytte dig mod Android's seneste PNG-sikkerhedsfejl er at installere opdateringer, så snart din operatør og enhedsproducent gør dem tilgængelige.
Google anbefaler også, at brugerne begrænser deres smartphones til kun at installere applikationer fra Google Play og aktiver Google Play Protect , den funktion, der gør det muligt for Android-sikkerhedsteamet at overvåge din telefon for ondsindede apps og aktivitet. Installation af applikationer fra tredjepartsmarkeder sporer altid trusler.
Mens du venter på dine sikkerhedsrettelser, skal du tænke to gange, før du trykker på det næste kattefoto.
LÆS MERE: