Докатились, Android можно взломать через картинку из интернета

Артём Баусов avatar | 82
FavoriteLoading В закладки
Докатились, Android можно взломать через картинку из интернета

Разработчики Google сообщили в своём блоге о критической уязвимости Android, позволявшей получить доступ к смартфону с помощью обычного PNG-файла.

Кто подвержен взлому

Абсолютно все устройства под управлением Android 7 Nougat и выше.

Как это работает

Для взлома нужна специальным образом сконфигурированная PNG-картинка. Она способна выполнять произвольный код в привилегированном процессе.

Подробностей в компании не стали раскрывать по очевидным причинам. Единственное, что известно — уязвимость скрывается в кодеке PNG.

Как защититься

Необходимо установить февральское обновление безопасности, которое Google начала рассылать на этой неделе. Пока оно доступно на смартфонах Pixel, Essential Phone и некоторых моделях Samsung Galaxy.

Остальным придётся ждать апдейта от производителей. Зная их, это может произойти не очень быстро. Б — безопасность. [The Register]

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (3.54 из 5, оценили: 24)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Попадос.
Прокомментировать

🙈 Комментарии 82

  1. triller avatar
    triller7 февраля в 15:45
    17

    вот он главный минус андроида и главная причина почему я плачу яблоку такие деньги за айфоны

    FrogTS avatar
    FrogTS7 февраля в 16:26
    20

    @triller, а потом ты узнаешь новость про критическую уязвимость FaceTime…

    triller avatar
    triller7 февраля в 16:35
    15

    @FrogTS, и через пару дней узнаю, что она исправлена) тут же хз когда исправят и исправят ли вообще
    точнее не так выразился дойдет ли заплатка до моего смартфона

    Just4You avatar
    Just4You7 февраля в 16:48
    9

    @triller, тут ты даже достоверно не знаешь в чем уязвимость и насколько она серьезна, но верещишь :) Дырок в яблооси столько что хватит на 5 лет вперед :)
    Дыра в фасетиме существовала много месяцев так-то :) и совершенно случайно левые люди о ней рассказали.

    picatchy avatar
    picatchy7 февраля в 17:07
    6

    @Just4You, сколько месяцев? Два?

    triller avatar
    triller7 февраля в 17:36
    13

    @Just4You, я не верещу, а спокойно говрю, верещите только вы тут)
    Дырки в яблооси правят причем регулярно и качественно.
    Дырки в андроиде хоть и правят, но до конечного пользователя они доходят далеко не всегда из-за наплевательского отношения производителя
    А если у тебя девайс 2-3 летней давности, то получить заплатку можно не рассчитывать с вероятностью близкой к 100%

    simplevvay7 февраля в 19:18
    4

    @triller, дырки в андроиде латают также быстро как и в айоси. Вопрос в том что есть производителе телефонов, которые не торопятся обновлять выпущенные ими же телефоны на этой оси. Так это проблема Андроида или все же конкретных производителей?

    triller avatar
    triller7 февраля в 21:05
    6

    @simplevvay, а я что написал?)). Решили поиграть в кэпа?)
    Мне, как конечному потребителю, глубоко срать из-за чего мой телефон плохо работает. производитель телефона не выпустил вовремя обнову или Гугл тормозит, зачем мне этот головняк). Примерно такое же отношение у меня к винде

    TAIFUN avatar
    TAIFUN8 февраля в 0:52
    3

    @Just4You, если Вы хотите чтобы не было “дырок” – купите полнотелый кирпич, и звоните по нему.
    Сегодня такие реалии, что ПО без дырок – это фантастика. Важнее то, чем вызваны эти дыры и как быстро их фиксят.

    FrogTS avatar
    FrogTS7 февраля в 17:29
    5

    @triller, исправлена каким образом? Выключили групповые звонки на серверах? Отличное исправление!

    triller avatar
    triller7 февраля в 17:38
    7

    @FrogTS, выпустят в ближайшее время заплатку и получат ее все смертфоны, которые еще поддерживаются.

    VZ avatar
    VZ7 февраля в 18:17
    3

    @triller, вот когда выпустят тогда и открывай свой рот

    smbros avatar
    smbros7 февраля в 18:51
    4

    @VZ, после выключения уязвимость уже не опасна. А вот андроид-картиночка в деле.

    VZ avatar
    VZ8 февраля в 5:08
    2

    @smbros, ну если только в ваших эротических снах

    triller avatar
    triller8 февраля в 9:32
    1

    @VZ, так уже выпустили)

    VZ avatar
    VZ8 февраля в 15:28
    0

    @triller, умница, возьми с полки пирожок

    FrogTS avatar
    FrogTS7 февраля в 17:34
    3

    @triller, все претензии к твоему производителю смартфона можешь предъявить. Гугл закрыла дыру в февральском патче. И этот патч уже стоит на моём смарте если что.

    triller avatar
    triller7 февраля в 17:41
    4

    @FrogTS, мой производитель смартфонов это Apple, у меня к нему если и есть притензии то они не по этому вопросу))

    Одни пиксели покупать, которые гарантируемо поддерживаются? гнусмасы по цене айфона и потом уже гадать выпустят они или нет, а у остальных вообще чехарда

    Muxaulo avatar
    Muxaulo7 февраля в 18:55
    4

    @triller, есть линейка устройств Android One, которые также гарантированно в течение нескольких лет получают обновления безопасности и обновления системы. Причём, производителей несколько, и выбор устройств довольно неплохой

    triller avatar
    triller8 февраля в 9:39
    0

    @Muxaulo, вот зачем мне, как конечному потребителю выискивать эти тонкости, лазить по форумомам, искать эти самые андроид1, у которого более чем уверен есть свои минусы, когда я могу купить айфон и не париться вообще?)

    ZloySega avatar
    ZloySega8 февраля в 10:15
    2

    @triller, Дак не зачем. Не думай. Покупай то что дают. Один телефон. Одна ось. Всё круто. Мозг не напрягается.
    Вместо одного Айфона можно купить 4 сяоми а2.
    Не закрывай вкладку, пока считаешь на калькуляторе, а то перегрузится ещё.

    triller avatar
    triller8 февраля в 10:24
    1

    @ZloySega, У меня есть над чем подумать и так, зачем мне голову забивать не нужными вещами.
    Я на себе любимом не привык экономить и нервы мне мои дороже.
    У меня была мысль после призентации Xs купить андроид и не париться, но как только окунулся туда, понял сколько всего придется перелопать, плюнул и взял айфон, решив что нервы и время дороже чем 20-30тр

    MirrorMsk112 avatar
    MirrorMsk1127 февраля в 18:44
    2

    @triller, Galaxy S8 – обновления каждый месяц, иногда 2 за месяц ( за последние полтора года)

    triller avatar
    triller8 февраля в 9:40
    0

    @MirrorMsk112, он такое г-но, что его до сих пор допиливают?))

    MirrorMsk112 avatar
    MirrorMsk1128 февраля в 9:59
    3

    @triller, ну ты и хомячина)) яблоко значит “выкатывает заплатки”, а Samsung “Допиливает говно”?)

    triller avatar
    triller8 февраля в 10:16
    0

    @MirrorMsk112, ну яблоко не по две заплатки в месяц выкатывает?) Выкатывает по мере необходимости плюс плановые крупные обновления ОС, где-то раз в полгода.
    А самсунг не Андроид не разрабатывает, а латает только свою оболочку.
    Поэтому вот такие вот регулярные обновления у меня всегда вызывают подозрения. Либо обновления ради обновления, типа смотрите, как мы работаем. Либо настолько сырой продукт, что его постоянно дорабатывают

    Andrey8 февраля в 10:39
    1

    @triller, что не новость об обновлении iOS, так «анимированная какашка», «добавлены новые эмодзи». Невероятно крупные и важные обновления :)

    Регулярные обновления безопасности андроид говорят о том, что разработчик ОС держит руку на пульсе и прикладывает все усилия для исправления возможных проблем.

    triller avatar
    triller8 февраля в 11:22
    0

    @Andrey, каждый видет то что ожидает)
    А так же говорит, что безопасность там очень хреновая)

    Andrey10 февраля в 21:06
    0

    @triller, а у эпол с их мессенджером и фейстаймом безопасность идеальная? :)

    gegenava avatar
    gegenava8 февраля в 8:24
    4

    @triller, Они месяц ее не признавали, потом ещё на месяц тупо отключили групповые звонки facetime. 2 дня, лол. С. Скорость.

    triller avatar
    triller8 февраля в 9:43
    1

    @gegenava, 29 января отключили, 8 февраля выпустили обнову, вы на плутоне живете что у вас месяцы такие?)

    triller avatar
    triller8 февраля в 10:17
    0

    @triller, точнее на меркурии)

    gegenava avatar
    gegenava8 февраля в 13:08
    0

    @triller, Видимо на том же Меркурии, что и у вас, если с 29го до 8го это “пара дней”. Если что, про косяк с картинкой я узнал сегодня, а февральскую заплатку, латающую этот баг, на свой пиксель получил вчера. Продолжайте верить что apple лучше.

    triller avatar
    triller8 февраля в 13:46
    0

    @gegenava, узнали выкатили временное решение и через неделю сделали заплатку
    Залатали в феврале, вот только сколько её латали одному богу известно
    Я вам больше скажу, все дырки андроид вы не занете и не узнаете, это же не IOS дырку в которой все таблойды освещают))

    VZ avatar
    VZ8 февраля в 15:40
    0

    @triller, в твоем сраном айос дыр уже навалом, так же как и вирусняков и багов на маках, ВЕЗДЕ об этом пишут, эпл в плане безопасности давно уже не лучше других, только вот ты пердишь из танка восхваляя своего гомо царя

    dimasokol avatar
    dimasokol7 февраля в 17:58
    7

    @triller, да, и верно, в iOS же никогда не было падений системных процессов от какого-нибудь символа в СМСке, например.

    triller avatar
    triller8 февраля в 9:44
    0

    @dimasokol, вы нить разговора улавливаете или просто тявкнуть захотелось?)

    dimasokol avatar
    dimasokol8 февраля в 13:59
    0

    @triller, я-то улавливаю, это один и тот же класс ошибок вообще-то. Только в iOS эксплуатация дыры была доступнее любому дебилу, желающему вырубить айфоны своим знакомым. Скопируй два символа, отправь и не парься.

    triller avatar
    triller8 февраля в 14:14
    0

    @dimasokol, было, не отрицаю, апдейт получили все айфоны, проблема ушла. Тут получат, мягко говоря, не все пользователи андроид, разницу чувствуете?

    Andrey7 февраля в 19:51
    7

    @triller, сколько уже было дыр в iOS, когда простое SMS убивало девайс насмерть? Или у вас снова амнезия?

    triller avatar
    triller8 февраля в 9:45
    2

    @Andrey, еще один любитель тявкнуть не по теме)

    Andrey8 февраля в 10:36
    2

    @triller, противоречащее вашему восприятию мира, в силу вашей эплоупоротости, вы называете «не по теме» :)

    Вы, эплодурачки, совсем от реального мира оторвались. Над вами даже сама компания эпол смеется, а вы продолжаете ее нахваливать.
    Болезные, что с вас взять.

    triller avatar
    triller8 февраля в 11:25
    0

    @Andrey, слушай умник, где я писал, что в IOS нету дыр?)

    От какого реального мира, от вашего ведра?)

    lugovs avatar
    lugovs8 февраля в 14:04
    1

    @triller, оно такое же наше,как и ваше,-просто объективнее будь,чучело

    triller avatar
    triller8 февраля в 14:06
    1

    @lugovs, обойдусь без советов хамоватого нонейма с форума

    lugovs avatar
    lugovs8 февраля в 13:52
    0

    @triller,ты больше дибилов читай…у iphone уязвимостей не меньше

    larixy avatar
    larixy8 февраля в 14:14
    0

    @triller, у iOS еще больше дыр чем у андроида. Даже спец оборудование есть ламает в три щета или СМС которое в кирпич превращает

    triller avatar
    triller8 февраля в 14:28
    0

    @larixy, а не удивляет что для IOS оборудование специальное придумали, чтобы сломать?)

    miller_ avatar
    miller_10 февраля в 18:13
    0

    @triller, у яблока тоже была лажа с гиф картинкой и блядосимволом

  2. picatchy avatar
    picatchy7 февраля в 16:10
    8

    Сейчас опять набежит толпа школьников, и начнет доказывать, что ничего страшного не случилось – красть то у них нечего))) Разве что такие же мамкины хакеры уведут ВК и начнут клянчить бабло у друзей)

    triller avatar
    triller7 февраля в 16:22
    6

    при этом топя за защиту личной информации от властей в соседних темах))

    dimasokol avatar
    dimasokol7 февраля в 18:09
    5

    @picatchy, the severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

    Перевожу: девайс должен быть в режиме разработчика, ну или в комбинации с ещё какой-то гипотетической дыркой.

    We have had no reports of active customer exploitation or abuse of these newly reported issues — ничего удивительного, куда проще и надёжнее выложить через взломанные сайты очередное «критическое обновление флэш-плеера», которое пугливые дятлы поставят сами, послушно следуя всем инструкциям.

    gegenava avatar
    gegenava8 февраля в 8:27
    3

    @picatchy, Сейчас набежит толпа хомячков, и начнет доказывать, что то, что подобные дыры на ios чуть ли не каждую неделю латают – это ложь. И тут же, на этом сайте, про это же и пишут. Да, и до эпик фейла в facetime этой уязвимости далеко. Так что “докатились” чуть раньше произошло).

    triller avatar
    triller8 февраля в 11:28
    0

    @gegenava, т.е. ты сказал лож и все, все должны поверить)

    gegenava avatar
    gegenava8 февраля в 13:11
    1

    @triller, Я сказал – “ложь”, у меня все в порядке с грамотностью.

    triller avatar
    triller8 февраля в 13:48
    0

    @gegenava, ну хоть с чем-то порядок))

    lugovs avatar
    lugovs8 февраля в 13:53
    0

    @picatchy, выше написал-а ниже тебе барану,дословно разжевали…не школьник,только ума у тебя не больше

  3. dmitryermakov avatar
    dmitryermakov7 февраля в 16:18
    2

    У меня iPhone взломали, когда я просто ответил на комментарий Вконтакте.
    Пришлось все сбрасывать и заново переустанавливать.

    triller avatar
    triller7 февраля в 16:23
    6

    @dmitryermakov, что за бред, подробней можно?)

    dmitryermakov avatar
    dmitryermakov7 февраля в 16:57
    1

    @triller, сам был в шоке, не думал что такое возможно. Коммент был очень странный и сразу потом исчез. У меня конечно зародилось сомнение, отвечать или нет, но понадеялся на защищенность iOS.

    picatchy avatar
    picatchy7 февраля в 17:08
    0

    @dmitryermakov, так что именно случилосЬ?

    dmitryermakov avatar
    dmitryermakov7 февраля в 17:19
    0

    @picatchy, ПРОСТО ОТВЕТИЛ НА КОММЕНТАРИЙ ВКОНТАКТЕ. Нажал кнопку ответить, набрал текст и отправил. И ничего больше.

    triller avatar
    triller7 февраля в 17:42
    1

    @dmitryermakov, а со смартфоном что случилось?

    dmitryermakov avatar
    dmitryermakov7 февраля в 18:11
    0

    @triller, экран потемнел и на нем что-то высветилось. Я сразу перезагрузил телефон, но сафари осталось полностью неработоспособна. Пришлось все сбрасывать и восстанавливать телефон из копии

    Muxaulo avatar
    Muxaulo7 февраля в 18:56
    3

    @dmitryermakov, больше похоже не на взлом, а на банальный глюк устройства. Который, тем не менее, довольно странный

    triller avatar
    triller8 февраля в 11:27
    0

    @Muxaulo, взлома, как такового не может быть, без джейла.

    picatchy avatar
    picatchy7 февраля в 16:36
    5

    @dmitryermakov, в следующий раз не покупай “айфон” в переходе с рук

  4. picatchy avatar
    picatchy7 февраля в 16:39
    4

    lol, там до кучи еще и можно полностью взломать ведерко просто по блютусу, отправив определенный сигнал.

    Just4You avatar
    Just4You7 февраля в 16:50
    5

    @picatchy, рентв пересмотрел? :)

    picatchy avatar
    picatchy7 февраля в 17:08
    3

    @Just4You, оригинал прочти, чудик. Ах да, у тебя с английским беда

    triller avatar
    triller7 февраля в 17:44
    5

    @Just4You, а сбер и другие крупные банки к своим приложениям на ведре антивирус прикручивают наверное просто так, благотворительностью занимаются?)

  5. tov.Polkovnik avatar
    tov.Polkovnik7 февраля в 17:56
    1

    На Win когда-то тоже была аналогичная уязвимость :) Паники-то было….

  6. Oleg Kosachev7 февраля в 18:10
    3

    загуглите – картинка png взлом android
    ещё в 2014 году была такая дыра! и никто её не замечал. только щас заметили. Очень странно(

    dimasokol avatar
    dimasokol8 февраля в 14:05
    0

    @Oleg Kosachev, я скажу больше: для iOS не пишут весь код с нуля, берут всё ту же самую libpng или другие подобные решения. Там есть (или была) ровно та же дыра, поздравляю)

  7. VZ avatar
    VZ7 февраля в 18:19
    4

    Автор, а статистика пострадавших пользователей есть? Или также просто копипастить будете?

    dimasokol avatar
    dimasokol7 февраля в 18:39
    1

    @VZ, we have had no reports of active customer exploitation or abuse of these newly reported issues.

    triller avatar
    triller8 февраля в 9:48
    0

    @VZ, у ведра столько дырок, что статистку по пострадавшим уже давно никто не ведет, енпонятно от ккой конкретно пострадал пользователь Это же в IOS каждая найденная дырка повод для новости)

    VZ avatar
    VZ8 февраля в 15:43
    0

    @triller, главное, что когда кук забавляется с вашими дырками, вы себя пострадавшими не считаете

  8. bassist avatar
    bassist7 февраля в 19:05
    0

    Разве ведерко сложно рутануть шнурком?

    triller avatar
    triller8 февраля в 9:48
    0

    @bassist, не у каждого производителя рут права можно получить

    VZ avatar
    VZ8 февраля в 15:48
    0

    @triller, слишком много у тебя познаний про андроид, походу ты с ксяоми гоняешь, надрачивая перед сном на яблоко

    triller avatar
    triller8 февраля в 15:57
    0

    @VZ, по себе людей не судят)) А я вообще разносторонне развитый человек, про андроид тоже не мало знаю, поэтому себе и не беру

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь