Overslaan en naar de inhoud gaan

PNG-plaatje kan recente Androids hacken

Het simpelweg bekijken van een speciaal aangemaakt PNG-plaatje kan ongepatchte Androids de kop kosten. Een aanvaller kan daarlangs namelijk eigen code uitvoeren, wat dan gebeurt met de diepgaande rechten van een zogeheten 'privileged process'. Google heeft snel patches uitgebracht.
Android mascottes
© Google
Google

Dit hacken via een malafide PNG-afbeelding kan gebeuren door zo'n plaatje te bekijken op een websites, maar ook door zo'n PNG te ontvangen in een mail of sms-bericht. Google meldt dit in zijn Android Security Bulletin voor deze maand, waarin het een totaal van 42 kwetsbaarheden verhelpt. Maar liefst 11 daarvan krijgen de waardering 'kritiek' mee, waaronder dus ook het PNG-beveiligingsgat.

Patch-level van februari

Android-toestellen die nog niet op security patch level 2019-02-05 zitten, zijn kwetsbaar. Eindgebruikers kunnen dat controleren in de app Instellingen door daar onderaan te kiezen voor Systeem -> Geavanceerd -> Systeemupdate. "Als je  'Geavanceerd' niet ziet, tik je op 'Over de telefoon' ", merkt Google nog op in zijn supportdocument over controleren (en updaten) van Android-versies.

De mogelijkheid om via malafide PNG-afbeeldingen Android-toestellen te hacken, is de ernstigste van alle gaten die Google nu dicht met zijn februari-update. Android-versies 7, 8 en 9 (respectievelijk Nougat, Oreo en Pie) zijn kwetsbaar, inclusief tussenliggende subversies. De onderliggende kwetsbaarheid zit in Framework, wat dienst doet voor de weergave van grafische bestanden. Google stelt nog gerust dat het geen meldingen heeft ontvangen dat deze gaten in de praktijk worden misbruikt.

Android-fragmentatie

De vraag is natuurlijk of daarmee valt uit te sluiten dat de kwetsbaarheden van de februari-update zijn benut door aanvallers. Bovendien zijn er nog veel oudere Android-versies in gebruik, van vóór 7.0 (Oreo) die in augustus 2016 is uitgekomen. Die achterlopende Android-apparaten hoeven niet te rekenen op updates voor hun mobiele besturingssysteem. Dit kan overigens ook gelden voor nieuwere toestellen, met meer recente Android-versies. Toestelmakers geven namelijk niet altijd de Android-patches van Google door, of doen dat pas na verloop van tijd. Dit geeft kwaadwillenden tijd en gelegenheid.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in