Les hackers peuvent pirater un smartphone Android juste en regardant une image PNG

Une vulnérabilité dans le fichier PNG peut permettre aux hackers de pirater des smartphones Android

Attention, en ouvrant une image ayant l’air inoffensive téléchargée sur Internet, dans des e-mails, des applications de médias sociaux ou des applications de messagerie, cela pourrait compromettre votre smartphone.

Google a découvert trois nouvelles vulnérabilités critiques qui permettent aux hackers de pirater un smartphone Android juste en regardant une image PNG. Ce bug a affecté des millions d’appareils fonctionnant sous les versions du système d’exploitation Android, allant de Nougat 7.0 à l’actuel Android 9.0 Pie.

Les vulnérabilités, identifiées comme CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988, ont cependant été corrigées dans le projet Android Open Source (ASOP) par Google dans le cadre de leurs mises à jour de sécurité Android de février 2019.

Selon le bulletin de sécurité Android de Google, la vulnérabilité qui permet “à un attaquant distant utilisant un fichier PNG spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié,” est la vulnérabilité la plus sévère.

Cela signifie que si un hacker parvient à tromper un utilisateur pour qu’il ouvre ou télécharge une image depuis n’importe quelle page web, ou reçue par un service de messagerie instantanée, ou en tant que pièce jointe dans un e-mail, il ou elle peut accéder à votre smartphone.

En plus des trois failles, Google a également inclus des correctifs pour 42 vulnérabilités dans le système d’exploitation Android au total dans sa mise à jour de février 2019, dont 11 sont considérées comme critiques, 30 à fort impact et une de gravité moyenne.

Google a déclaré qu’il n’avait reçu aucun rapport d’exploitation des vulnérabilités listées dans son bulletin de sécurité de février contre de vrais utilisateurs ou dans la nature. Le géant de la recherche a également indiqué qu’il avait alerté ses partenaires Android de toutes les vulnérabilités un mois avant la publication, ajoutant que “des correctifs de code source pour ces problèmes seront publiés dans le dépôt du projet Android Open Source (AOSP) dans les 48 heures.”

Malheureusement, il est inconnu quand les fabricants de téléphones tiers déploieront les mises à jour de sécurité sur leurs appareils, car beaucoup d’entre eux prennent des semaines, voire des mois, pour les déployer. Cela signifie que votre appareil Android n’est toujours pas protégé même après avoir reçu la mise à jour de février 2019. Il est suggéré de patcher son smartphone Android dès qu’une mise à jour de sécurité est disponible auprès du fabricant de l’appareil.