Уязвимость в Android позволяет получить доступ к устройству с помощью видео

В ОС Android обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к устройствам пользователей. Уязвимость (CVE-2019-2107) затрагивает версии Android от 7.0 до 9.0 (Nougat, Oreo и Pie) и позволяет удаленно выполнить код без дополнительных прав. Эксплоит для уязвимости был опубликован на GitHub исследователем Марцином Козловски (Marcin Kozlowski).

Как пояснил Козловски, злоумышленник может скомпрометировать устройство с помощью вредоносного видеофайла, отправив его, например, по электронной почте (приложение Gmail способно загружать видео с помощью стандартного видеопроигрывателя Android). В случае открытия файла пользователем, злоумышленник может получить доступ к устройству жертвы.

Успешная эксплуатация уязвимости возможна при одном условии – пользователь должен будет загрузить вредоносное видео только в неизменном виде. Атака, предположительно, также не будет эффективной при отправке вредоносного файла через сервисы, которые перекодируют видео, например, YouTube, WhatsApp и пр.

В настоящее время неизвестно, сколько именно устройств подвержено риску. По данным Google, в мае 2019 года насчитывалось более 2,5 млрд активных телефонов на базе Android. Из них почти 58% (около 1,5 млрд) работают под управлением уязвимых версий ОС.

Компания Google уже выпустила обновление, исправляющее уязвимость.

Напомним , в начале июля 2019 года стало известно о том, что преступники могут манипулировать медиафайлами, передаваемыми пользователями через мессенджеры WhatsApp и Telegram. Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище.

Источник: https://www.securitylab.ru/news/500174.php