Компания Google выпустила февральский патч безопасности для операционной системы Android, устраняющий те или иные дыры в безопасности мобильной платформы. Согласно официальному описанию, несколько из них позволяют злоумышленникам взломать устройства на базе «зелёного робота» лишь одним изображением формата PNG.
Три исправленные февральским патчем дыры в безопасности под кодовыми номерами CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988 получили статус критически опасных. Первый представляет угрозу всем устройствам без свежего патча безопасности, работающим под управлением Android 9 Pie. Последняя из вышеперечисленных уязвимостей опасна для гаджетов на Android 8.0, 8.1 и 9, а CVE-2019-1987 — для смартфонов и планшетов на базе всех актуальных версий «зелёного робота» (от Android 7.0 Nougat до Android 9 Pie включительно).
Техническая сторона найденных уязвимостей не описывается. Сообщается лишь то, что одна из них позволяет хакерам запустить любой произвольный код в контексте привилегированного процесса. Иными словами, злоумышленники могут взломать Android-устройства, если их владельцы скачают вредоносное изображение или откроют его в мессенджере — внешне нельзя отличить сконфигурированный особым образом файл формата PNG от обычного изображения.
Хоть Google и выпустила обновление, исправляющее вышеописанные уязвимости, большинство актуальных устройств всё ещё находятся под угрозой и будут уязвимы в течение некоторого времени, потому что крайне мало производителей своевременно выпускает патчи безопасности для своих смартфонов и планшетов. К тому же, часть гаджетов на Android 7.0 Nougat и Android 8.0 Oreo уже не поддерживаются — они вряд ли когда-либо получат официальный патч февраля 2019 года.
