ข้อควรระวัง! คุณต้องระวังให้มากขึ้นเมื่อเปิดไฟล์รูปภาพบนสมาร์ทโฟนของคุณ ซึ่งคุณได้รับจากอินเทอร์เน็ตหรือผ่านข้อความหรือแอปพลิเคชันอีเมล
Νด้วยภาพเพียงภาพเดียว สมาร์ทโฟน Android ของคุณสามารถรันโค้ดที่เป็นอันตรายที่ซ่อนอยู่ภายในไฟล์ภาพได้ ต้องขอบคุณช่องโหว่ที่สำคัญสามจุดที่เพิ่งระบุซึ่งส่งผลกระทบต่ออุปกรณ์หลายล้านเครื่องที่ทำงานแม้กระทั่งระบบปฏิบัติการเวอร์ชันล่าสุดของ Google ตั้งแต่ Android 7.0 Nougat ไปจนถึง Android 9.0 ปัจจุบัน พาย.
ช่องโหว่ที่ระบุว่าเป็น CVE-2019-1986, CVE-2019-1987 และ CVE-2019-1988 ได้รับการแก้ไขใน Android Open Source (AOSP) โดย Google โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยของ Android
อย่างไรก็ตาม เนื่องจากไม่ใช่ผู้ผลิตอุปกรณ์มือถือทุกรายที่จะเผยแพร่การอัปเดตความปลอดภัยทุกเดือน จึงเป็นเรื่องยากที่จะตัดสินว่าอุปกรณ์ Android ของคุณจะได้รับการอัปเดตความปลอดภัยเหล่านี้ในเร็วๆ นี้หรือไม่ ก่อนที่คุณจะตกเป็นเหยื่อของช่องโหว่นี้
แม้ว่าวิศวกรของ Google จะยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคเพื่ออธิบายช่องโหว่เหล่านี้ แต่การอัปเดต Changelog เรียกช่องโหว่เหล่านี้ว่าเป็นการแก้ไข "บัฟเฟอร์ล้น" "ข้อผิดพลาด SkPngCodec" และข้อผิดพลาดเกี่ยวกับ PNG
จากข้อมูลของ Google หนึ่งในสามช่องโหว่ที่ Google พิจารณาว่าร้ายแรงที่สุด อาจทำให้ไฟล์รูปภาพ Portable Network Graphics (.PNG) ที่เป็นอันตรายสามารถรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Android ที่มีช่องโหว่ได้ จากข้อมูลของ Google "ปัญหาที่ร้ายแรงที่สุดเหล่านี้ เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งอาจทำให้ผู้บุกรุกจากระยะไกลใช้ไฟล์ PNG ที่ประมวลผลเป็นพิเศษเพื่อรันโค้ดที่เป็นอันตรายในฐานะผู้ดูแลระบบ"
ผู้บุกรุกจากระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้โดยเพียงแค่แจ้งให้ผู้ใช้เปิดไฟล์ภาพ PNG (ซึ่งไม่สามารถตรวจจับได้ด้วยตาเปล่า) บนอุปกรณ์ของตนด้วยวิธีต่างๆ ที่พวกเขาได้รับผ่านบริการส่งข้อความหรือแอปพลิเคชัน อีเมล
เมื่อรวมข้อบกพร่องทั้งสามนี้แล้ว Google ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 42 รายการในระบบปฏิบัติการ Android ของตน โดย 11 รายการมีความสำคัญ ความเสี่ยงสูง 30 รายการและช่องโหว่ระดับปานกลาง
Google ได้กล่าวว่าไม่มีรายงานการแสวงหาผลประโยชน์เชิงรุกหรือการละเมิดอย่างร้ายแรงต่อช่องโหว่ใด ๆ ที่ระบุไว้ในกระดานข่าวความปลอดภัยเดือนกุมภาพันธ์
Google ยังกล่าวอีกว่าได้แจ้งให้พันธมิตรทราบถึงช่องโหว่ทั้งหมดหนึ่งเดือนก่อนเผยแพร่ โดยเสริมว่า "ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะถูกเผยแพร่ไปยังพื้นที่จัดเก็บ AOSP (Android Open Source Project) ใน 48 ชั่วโมงข้างหน้า"
[the_ad_group id =” 966″]
