Attention! Vous devez être plus prudent lorsque vous ouvrez un fichier image sur votre smartphone, que vous avez reçu d'Internet ou via des messages ou des applications de messagerie.
ΝAvec une seule image, votre smartphone Android peut exécuter du code malveillant caché dans le fichier image, grâce à trois vulnérabilités critiques récemment identifiées qui affectent des millions d'appareils exécutant même les dernières versions du système d'exploitation de Google, d'Android 7.0 Nougat à l'actuel Android 9.0 Tarte.
Les vulnérabilités, identifiées comme CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988, ont été corrigées sur Android Open Source (AOSP) par Google dans le cadre de la mise à jour de sécurité Android.
Cependant, étant donné que tous les fabricants d'appareils mobiles ne distribuent pas de mises à jour de sécurité tous les mois, il est difficile de déterminer si votre appareil Android recevra ces mises à jour de sécurité peu de temps avant que vous ne soyez victime de cette vulnérabilité.
Bien que les ingénieurs de Google n'aient pas encore révélé de détails techniques pour expliquer ces vulnérabilités, les mises à jour du journal des modifications les appellent correctifs de "débordement de tampon", "erreurs SkPngCodec" et erreurs liées à PNG.
Selon Google, l'une des trois vulnérabilités, que Google considérait comme la plus grave, pourrait permettre à un fichier image malveillant de Portable Network Graphics (.PNG) d'exécuter un code malveillant sur des appareils Android vulnérables. Selon Google, « le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre à un intrus distant d'utiliser un fichier PNG spécialement traité pour exécuter un code malveillant en tant qu'administrateur système."
Un intrus distant pourrait profiter de cette vulnérabilité en invitant simplement les utilisateurs de diverses manières à ouvrir sur leurs appareils un fichier image PNG (impossible à détecter à l'œil nu) qu'ils ont reçu via le service de messagerie ou une application de courrier électronique. .
En incluant ces trois failles, Google a corrigé un total de 42 failles de sécurité dans son système d'exploitation Android, dont 11 critiques, 30 à haut risque et une modérée.
Google a déclaré n'avoir aucun rapport d'exploitation active ou d'abus grave de l'une des vulnérabilités répertoriées dans son bulletin de sécurité de février.
Google a également déclaré avoir informé ses partenaires de toutes les vulnérabilités un mois avant la publication, ajoutant que "le code source de ces problèmes sera publié sur le stockage AOSP (Android Open Source Project) dans les prochaines 48 heures".
[the_ad_group id = "966"]