Hackers podem invadir um smartphone Android apenas olhando para uma imagem PNG

Vulnerabilidade em arquivo PNG pode permitir que hackers invadam smartphones Android

Cuidado ao abrir uma imagem que parece inofensiva, baixada da internet, e-mails, aplicativos de redes sociais ou aplicativos de mensagens, pois isso pode comprometer seu smartphone.

O Google descobriu três novas vulnerabilidades críticas que permitem que hackers invadam um smartphone Android apenas olhando para uma imagem PNG. Esse bug afetou milhões de dispositivos que rodam nas versões do Android OS, variando de Nougat 7.0 até o atual Android 9.0 Pie.

As vulnerabilidades, identificadas como CVE-2019-1986, CVE-2019-1987 e CVE-2019-1988, foram, no entanto, corrigidas no Android Open Source Project (ASOP) pelo Google como parte de suas Atualizações de Segurança do Android para fevereiro de 2019.

De acordo com o Boletim de Segurança do Android do Google, a vulnerabilidade que permite “um atacante remoto usando um arquivo PNG especialmente elaborado para executar código arbitrário dentro do contexto de um processo privilegiado” é a vulnerabilidade mais severa.

Isso significa que, se um hacker conseguir enganar um usuário para abrir ou baixar uma imagem de qualquer página da web, ou recebida através de um serviço de mensagens instantâneas, ou como um anexo em um e-mail, ele ou ela pode obter acesso ao seu smartphone.

Além das três falhas, o Google também incluiu correções para 42 vulnerabilidades no Android OS no total em sua atualização de fevereiro de 2019, das quais 11 são consideradas críticas, 30 de alto impacto e uma de gravidade média.

O Google afirmou que não tem relatos de ninguém explorando as vulnerabilidades listadas em seu boletim de segurança de fevereiro contra usuários reais ou na natureza. O gigante da busca também disse que alertou seus parceiros Android sobre todas as vulnerabilidades um mês antes da publicação, acrescentando que “patches de código-fonte para esses problemas serão liberados no repositório do Android Open Source Project (AOSP) nas próximas 48 horas.”

Infelizmente, não se sabe quando os fabricantes de dispositivos de terceiros lançarão as atualizações de segurança em seus telefones, já que muitos deles levam semanas, se não meses, para fazê-lo. Isso significa que seu dispositivo Android ainda não está protegido, mesmo após receber a atualização de fevereiro de 2019. Sugere-se que se deve corrigir seu smartphone Android assim que uma atualização de segurança estiver disponível pelo fabricante do dispositivo.