Спецпроекты

Миллиард устройств на Android можно взломать, переслав им видео

3088
Безопасность Пользователю Техника Мобильность
RCE-уязвимость, исправленная в июльском обновлении Android, позволяет с помощью специально подготовленного видеофайла вызвать сбой в штатном медиаплеере системы или запустить вредоносный код.

Видеодоказательство на миллиард

Критическая уязвимость в Android версий 7.0-9.0 позволяет производить взлом устройства с помощью видеофайла.

Получившая индекс CVE-2019-2107 уязвимость потенциально затрагивает около миллиарда устройств во всём мире.

«Баг» присутствует в медиафреймворке Android; благодаря ему злоумышленник с помощью специально подготовленного видеофайла запустить произвольный код в контексте процесса с высокими привилегиями в системе.

Программист Марцин Козловски (Marcin Kozlowski) представил пробный эксплойт, который способен вызвать сбой в работе встроенного медиаплеера Android. Впрочем, разработчик уверяет, что это самый безобидный вариант использования «бага». Аналогичный эксплойт можно использовать и для запуска произвольного кода.

Вопрос кодировки

Впрочем, по словам эксперта, видеофайл потребуется передать на устройство напрямую: в случае загрузки на Youtube или в Twitter и пересылки через WhatsApp или Facebook Messenger, атака не сможет быть реализована, поскольку в этих ресурсах производится перекодирование видеофайла, и потенциально вредоносный фрагмент кода теряется.

С помощью специально подготовленного видеофайла можно вызвать сбой в штатном медиаплеере Android или запустить вредоносный код

«Этим угроза атаки несколько смягчается, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Прямая отправка видеофайла в условиях, когда нормой считается загрузка видео на специализированные хостинги или в социальные сети, - это уже достаточно подозрительное явление. Другое дело, что с помощью нехитрой социальной инженерии можно заставить среднестатистического пользователя открыть и запустить и нечто куда менее безобидное, чем видеофайл».

Исправления в Android были внесены ещё в июльском обновлении операционной системы, однако миллионы устройств ещё не получили обновления от производителя, так что угроза сохраняется.



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»