セキュリティ

Androidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明

by TheDigitalWay

Android搭載のデバイスに、「PNG画像を開くだけでハッキングされてしまう危険性」があることがわかりました。この危険性は新たに発見された3つの脆弱性に基づくものであり、Android 7.0 Nougatから最新のAndroid 9.0 Pieで見られる脆弱性であるため、多くのスマートフォンに影響を及ぼす可能性があります。

Android Phones Can Get Hacked Just by Looking at a PNG Image
https://thehackernews.com/2019/02/hack-android-with-image.html

2019年2月のセキュリティアップデートにおいて、GoogleはAndroidデバイスに影響を与える脆弱性について報告しました。Googleは全部で42の脆弱性についてパッチを当てており、そのうち11個の脆弱性が「重大」な深刻度、30個の脆弱性が「高い」深刻度、1個の脆弱性が「中程度」の深刻度でした。

Googleのエンジニアは脆弱性の技術的な詳細について明らかにしていませんが、特に深刻だった3個の脆弱性には「ヒープベースのバッファオーバーフローの欠陥」および「SkPngCodecのエラー」、「PNG画像のレンダリングコンポーネントについての脆弱性」があったそうです。そして、PNG画像のレンダリングに関する脆弱性が、PNG画像を用いたハッキングを可能にするとのこと。

3個の脆弱性の中で最も危険なのがPNG画像に関する脆弱性であり、「外部の攻撃者が特別な細工を行ったPNG画像を使うことで、遠隔から特権プロセスで任意のコードを実行可能となります」とGoogleは述べています。攻撃者は悪意のあるPNG画像をメッセージアプリで送り付けたりインターネットからダウンロードさせたり、電子メールで送信したりして、ユーザーに画像を開くように仕向けるだけで、ターゲットの端末上で任意のコードを実行できるようになるそうです。なお、PNG画像が悪意のあるコードを仕込まれているかどうかは肉眼で確認できない模様。

by Soumil Kumar

Googleはセキュリティアップデートの報告の中で「脆弱性が悪用されたり被害を受けたりしたという報告はありません」と強調しており、Androidパートナーには1カ月前に新たな脆弱性について通知していると述べました。

この記事のタイトルとURLをコピーする

・関連記事
Android版Skypeに「パス入力なしでスマホ内部にアクセスできる」脆弱性が発見される - GIGAZINE

280万台以上のAndroidスマートフォンにルートキット入りの中国製ファームウェアが使われていると判明 - GIGAZINE

スマホ内の全データを削除・破壊する凶悪なマルウェア「Mazar」が感染拡大中 - GIGAZINE

Androidにロックを回避する新たな手法が登場 - GIGAZINE

14億台ものAndroid端末に通信が傍受される脆弱性が存在することが明らかに - GIGAZINE

Android端末にカメラの映像を盗み見られるセキュリティホールが存在 - GIGAZINE

Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86%は依然危険にさらされたまま - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.