Google在今年2月发布的Android安全更新中,修补了3个涉及PNG文件的重大漏洞,相关漏洞允许黑客在PNG中植入恶意程序,用户只要点击PNG图片就能触发漏洞,而惹来远程程序攻击。
PNG文件的全名为Portable Network Graphics,为一专为网络传输所设计的文件格式,并准备用来取代GIF。
根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客通过特定的PNG文件,在特权流程中执行任意程序,包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。
这代表Android用户只要点击可爱的猫、狗图片,或是看起来无害的风景照,都可能遭到远程程序攻击。
来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描绘图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体文件。 Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。
尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的设备可直接取得Google的安全更新,至于其它品牌的手机或平板则仍得视设备制造商或电信企业的更新进程才能取得修补,意味着仍有众多的Android设备陷于该重大安全风险中。