ハッカーはPNG画像を見るだけでAndroidスマートフォンをハッキングできる

PNGファイルの脆弱性によりハッカーがAndroidスマートフォンをハッキングできる

インターネット、メール、ソーシャルメディアアプリ、またはメッセージングアプリからダウンロードした無害に見える画像を開く際には注意が必要です。これはあなたのスマートフォンを危険にさらす可能性があります。

Googleは、ハッカーがPNG画像を見るだけでAndroidスマートフォンをハッキングできる3つの新しい重大な脆弱性を発見しました。このバグは、Nougat 7.0から現在のAndroid 9.0 PieまでのAndroid OSバージョンを実行している数百万のデバイスに影響を与えています。

脆弱性はCVE-2019-1986、CVE-2019-1987、およびCVE-2019-1988として特定されましたが、Googleは2019年2月のAndroidセキュリティアップデートの一環としてAndroidオープンソースプロジェクト（ASOP）でパッチを適用しました。

GoogleのAndroidセキュリティ速報によると、「特別に作成されたPNGファイルを使用して、特権プロセスのコンテキスト内で任意のコードを実行するリモート攻撃者」を許可する脆弱性が最も深刻な脆弱性です。

これは、ハッカーがユーザーを騙してウェブページから画像を開いたりダウンロードさせたり、インスタントメッセージサービスを通じて受信したり、メールの添付ファイルとして受け取った場合、スマートフォンにアクセスできることを意味します。

3つの欠陥に加えて、Googleは2019年2月のアップデートでAndroid OSの合計42の脆弱性に対する修正も含めており、そのうち11は重大、30は高影響、1は中程度の重みと見なされています。

Googleは、2月のセキュリティ速報に記載された脆弱性が実際のユーザーや実際の環境で悪用されたという報告はないと述べています。また、検索大手は、公開の1か月前にすべての脆弱性についてAndroidパートナーに警告を発し、「これらの問題に対するソースコードパッチは、次の48時間以内にAndroidオープンソースプロジェクト（AOSP）リポジトリにリリースされる」と付け加えました。

残念ながら、サードパーティのハンドセットメーカーが自社の電話にセキュリティアップデートを展開する時期は不明です。多くのメーカーは、アップデートを展開するのに数週間、場合によっては数ヶ月かかるためです。これは、2019年2月のアップデートを受け取った後でも、あなたのAndroidハンドセットがまだ保護されていないことを意味します。ハンドセットメーカーからのセキュリティアップデートが利用可能になったら、Androidスマートフォンをすぐにパッチ適用することが推奨されます。