Beheer

Security
Androids

PNG-plaatje kan recente Androids hacken

Android-smartphones zijn te hacken met een malafide PNG-afbeelding. Android-versies Nougat, Oreo en zelfs de nieuwste Pie zijn kwetsbaar.

© Google
12 februari 2019

Android-smartphones zijn te hacken met een malafide PNG-afbeelding. Android-versies Nougat, Oreo en zelfs de nieuwste Pie zijn kwetsbaar.

Het simpelweg bekijken van een speciaal aangemaakt PNG-plaatje kan ongepatchte Androids de kop kosten. Een aanvaller kan daarlangs namelijk eigen code uitvoeren, wat dan gebeurt met de diepgaande rechten van een zogeheten 'privileged process'. Google heeft snel patches uitgebracht.

Dit hacken via een malafide PNG-afbeelding kan gebeuren door zo'n plaatje te bekijken op een websites, maar ook door zo'n PNG te ontvangen in een mail of sms-bericht. Google meldt dit in zijn Android Security Bulletin voor deze maand, waarin het een totaal van 42 kwetsbaarheden verhelpt. Maar liefst 11 daarvan krijgen de waardering 'kritiek' mee, waaronder dus ook het PNG-beveiligingsgat.

Patch-level van februari

Android-toestellen die nog niet op security patch level 2019-02-05 zitten, zijn kwetsbaar. Eindgebruikers kunnen dat controleren in de app Instellingen door daar onderaan te kiezen voor Systeem -> Geavanceerd -> Systeemupdate. "Als je  'Geavanceerd' niet ziet, tik je op 'Over de telefoon' ", merkt Google nog op in zijn supportdocument over controleren (en updaten) van Android-versies.

De mogelijkheid om via malafide PNG-afbeeldingen Android-toestellen te hacken, is de ernstigste van alle gaten die Google nu dicht met zijn februari-update. Android-versies 7, 8 en 9 (respectievelijk Nougat, Oreo en Pie) zijn kwetsbaar, inclusief tussenliggende subversies. De onderliggende kwetsbaarheid zit in Framework, wat dienst doet voor de weergave van grafische bestanden. Google stelt nog gerust dat het geen meldingen heeft ontvangen dat deze gaten in de praktijk worden misbruikt.

Android-fragmentatie

De vraag is natuurlijk of daarmee valt uit te sluiten dat de kwetsbaarheden van de februari-update zijn benut door aanvallers. Bovendien zijn er nog veel oudere Android-versies in gebruik, van vóór 7.0 (Oreo) die in augustus 2016 is uitgekomen. Die achterlopende Android-apparaten hoeven niet te rekenen op updates voor hun mobiele besturingssysteem. Dit kan overigens ook gelden voor nieuwere toestellen, met meer recente Android-versies. Toestelmakers geven namelijk niet altijd de Android-patches van Google door, of doen dat pas na verloop van tijd. Dit geeft kwaadwillenden tijd en gelegenheid.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Kees Noorlander 12 februari 2019 12:59

Dan zie je hoe laakbaar het is dat niet alle toestellen tot 3 jaar na aankoopdatum nog kunnen worden gepatcht.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.