安卓最新漏洞可以让你在打开个 PNG 图像就被感染病毒
如果你觉得打开个图片应该不至于存在什么安全问题把,那么接下来的信息可能会让你改变以往的那些看法。
攻击者只需制作个包含特定代码的PNG格式的图片即可展开攻击,对于用户来说直接查看这些图片就会中招。
能被利用的漏洞主要影响Android 7.0~9.0 版,目前谷歌已制作安全更新发布到安卓源代码库中供厂商跟进。
利用PNG图像展开的攻击:
谷歌发布的安全公告显示攻击者可以制作包含特定代码的PNG图像,然后发送并诱导用户打开即可执行代码。
该公司并未透露这个漏洞的详细情况,不过据称是安卓框架存在的漏洞能够让攻击者在特权进程上执行代码。
直接结果就是攻击者可以获得系统最高权限直接控制整个设备,目前也不清楚是否有攻击者已经利用该漏洞。
目前尚未有通过PNG图像攻击的案例:
通过图像文件嵌入内容本身倒是比较常见的事情,例如以前贴吧分享某些电影文件时喜欢使用图种避免被删。
但通过PNG图像嵌入恶意代码展开攻击目前没有被公开报道的案例,主要是用户即便被攻击了估计也不知道。
这种攻击相对来说更隐蔽所以用户不容易发现问题,要不是谷歌这次公布漏洞估计也没多少人会想起这么干。
暂时也没有缓解办法:
虽然谷歌已经公布漏洞概述并制作安全更新,但谷歌并未公布任何可能缓解此漏洞的技术细节或者其他方法。
考虑到绝大多数安卓设备更新缓慢甚至不更新,所以一旦黑客通过补丁逆向工程发现漏洞细节后果不堪设想。
遗憾的是没有潜在的缓解方法意味着用户只能眼睁睁的看着漏洞被利用,总不能完全不打开各种PNG图像吧。
当然如果能够更新的用户最好还是尽早更新,所以在选购安卓设备时选择那种经常更新的厂商还是很重要的。