Android手機(jī)容易受到惡意制作的PNG圖像的攻擊

Apple可能由于其FaceTime錯(cuò)誤而受到了廣泛的關(guān)注，這可能是因?yàn)樗苌儆龅饺绱藝?yán)重的缺陷?；蛘咧辽偎麄兒苌俚玫綀?bào)道。但是，Android更開(kāi)放的性質(zhì)使漏洞利用變得更輕松，更規(guī)律，從理論上講，這意味著漏洞也得到了更快的修補(bǔ)。Google的最新安全公告提到了一個(gè)此類漏洞，該漏洞可能使黑客僅通過(guò)使用戶打開(kāi)Android手機(jī)上的一只可愛(ài)貓咪的圖像就可以在您的手機(jī)上運(yùn)行任意代碼。

好的，怪罪貓科動(dòng)物是不公平的，因?yàn)檎掌梢允侨魏蝿?dòng)物，地方或事物。使您的圖像致命的不是其所描繪的，而是其所使用的格式。特別是，Google報(bào)告說(shuō)，精心制作的PNG格式圖像在打開(kāi)后可能會(huì)讓攻擊者執(zhí)行具有特權(quán)訪問(wèn)權(quán)限的代碼。反過(guò)來(lái)，這最終可能導(dǎo)致攻擊者可以訪問(wèn)數(shù)據(jù)或更糟的是劫持電話的情況。

考慮到該過(guò)程看起來(lái)很容易，幾乎所有的Android設(shè)備都容易受到該漏洞的影響，Google尚未發(fā)布有關(guān)安全漏洞利用的詳細(xì)信息。尚未公開(kāi)有關(guān)主動(dòng)攻擊的報(bào)告，但這可能只是時(shí)間問(wèn)題。好消息是，相同的安全公告中包括針對(duì)此問(wèn)題的修復(fù)程序。壞消息是我們正在談?wù)摰氖茿ndroid。

盡管Google的Pixel和Nexus手機(jī)以及Essential PH-1已收到最新的安全更新，但大多數(shù)狂野的Android手機(jī)還沒(méi)有。有些甚至可能仍處于12月的安全補(bǔ)丁程序中。由于該漏洞會(huì)影響從Android 7.0牛軋?zhí)堑紸ndroid 9.0 Pie的所有設(shè)備，因此影響范圍非常廣泛。希望在OEM重新開(kāi)始爭(zhēng)先恐后之前，不會(huì)進(jìn)行實(shí)際的破壞性利用。