Докатились, Android можно взломать через картинку из интернета

Артём Баусов avatar | 82
FavoriteLoading В закладки
Докатились, Android можно взломать через картинку из интернета

Разработчики Google сообщили в своём блоге о критической уязвимости Android, позволявшей получить доступ к смартфону с помощью обычного PNG-файла.

Кто подвержен взлому

Абсолютно все устройства под управлением Android 7 Nougat и выше.

Как это работает

Для взлома нужна специальным образом сконфигурированная PNG-картинка. Она способна выполнять произвольный код в привилегированном процессе.

Подробностей в компании не стали раскрывать по очевидным причинам. Единственное, что известно — уязвимость скрывается в кодеке PNG.

Как защититься

Необходимо установить февральское обновление безопасности, которое Google начала рассылать на этой неделе. Пока оно доступно на смартфонах Pixel, Essential Phone и некоторых моделях Samsung Galaxy.

Остальным придётся ждать апдейта от производителей. Зная их, это может произойти не очень быстро. Б — безопасность. [The Register]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (24 голосов, общий рейтинг: 3.54 из 5)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Попадос.
Прокомментировать

🙈 Комментарии 82

  1. triller avatar
    triller7 февраля 2019
    17

    вот он главный минус андроида и главная причина почему я плачу яблоку такие деньги за айфоны

    FrogTS avatar
    FrogTS7 февраля 2019
    20

    @triller, а потом ты узнаешь новость про критическую уязвимость FaceTime…

    triller avatar
    triller7 февраля 2019
    15

    @FrogTS, и через пару дней узнаю, что она исправлена) тут же хз когда исправят и исправят ли вообще
    точнее не так выразился дойдет ли заплатка до моего смартфона

    Just4You avatar
    Just4You7 февраля 2019
    9

    @triller, тут ты даже достоверно не знаешь в чем уязвимость и насколько она серьезна, но верещишь :) Дырок в яблооси столько что хватит на 5 лет вперед :)
    Дыра в фасетиме существовала много месяцев так-то :) и совершенно случайно левые люди о ней рассказали.

    picatchy avatar
    picatchy7 февраля 2019
    6

    @Just4You, сколько месяцев? Два?

    triller avatar
    triller7 февраля 2019
    13

    @Just4You, я не верещу, а спокойно говрю, верещите только вы тут)
    Дырки в яблооси правят причем регулярно и качественно.
    Дырки в андроиде хоть и правят, но до конечного пользователя они доходят далеко не всегда из-за наплевательского отношения производителя
    А если у тебя девайс 2-3 летней давности, то получить заплатку можно не рассчитывать с вероятностью близкой к 100%

    simplevvay7 февраля 2019
    4

    @triller, дырки в андроиде латают также быстро как и в айоси. Вопрос в том что есть производителе телефонов, которые не торопятся обновлять выпущенные ими же телефоны на этой оси. Так это проблема Андроида или все же конкретных производителей?

    triller avatar
    triller7 февраля 2019
    6

    @simplevvay, а я что написал?)). Решили поиграть в кэпа?)
    Мне, как конечному потребителю, глубоко срать из-за чего мой телефон плохо работает. производитель телефона не выпустил вовремя обнову или Гугл тормозит, зачем мне этот головняк). Примерно такое же отношение у меня к винде

    TAIFUN avatar
    TAIFUN8 февраля 2019
    3

    @Just4You, если Вы хотите чтобы не было “дырок” – купите полнотелый кирпич, и звоните по нему.
    Сегодня такие реалии, что ПО без дырок – это фантастика. Важнее то, чем вызваны эти дыры и как быстро их фиксят.

    FrogTS avatar
    FrogTS7 февраля 2019
    5

    @triller, исправлена каким образом? Выключили групповые звонки на серверах? Отличное исправление!

    triller avatar
    triller7 февраля 2019
    7

    @FrogTS, выпустят в ближайшее время заплатку и получат ее все смертфоны, которые еще поддерживаются.

    VZ avatar
    VZ7 февраля 2019
    3

    @triller, вот когда выпустят тогда и открывай свой рот

    smbros avatar
    smbros7 февраля 2019
    4

    @VZ, после выключения уязвимость уже не опасна. А вот андроид-картиночка в деле.

    VZ avatar
    VZ8 февраля 2019
    2

    @smbros, ну если только в ваших эротических снах

    triller avatar
    triller8 февраля 2019
    1

    @VZ, так уже выпустили)

    VZ avatar
    VZ8 февраля 2019
    0

    @triller, умница, возьми с полки пирожок

    FrogTS avatar
    FrogTS7 февраля 2019
    3

    @triller, все претензии к твоему производителю смартфона можешь предъявить. Гугл закрыла дыру в февральском патче. И этот патч уже стоит на моём смарте если что.

    triller avatar
    triller7 февраля 2019
    4

    @FrogTS, мой производитель смартфонов это Apple, у меня к нему если и есть притензии то они не по этому вопросу))

    Одни пиксели покупать, которые гарантируемо поддерживаются? гнусмасы по цене айфона и потом уже гадать выпустят они или нет, а у остальных вообще чехарда

    Muxaulo avatar
    Muxaulo7 февраля 2019
    4

    @triller, есть линейка устройств Android One, которые также гарантированно в течение нескольких лет получают обновления безопасности и обновления системы. Причём, производителей несколько, и выбор устройств довольно неплохой

    triller avatar
    triller8 февраля 2019
    0

    @Muxaulo, вот зачем мне, как конечному потребителю выискивать эти тонкости, лазить по форумомам, искать эти самые андроид1, у которого более чем уверен есть свои минусы, когда я могу купить айфон и не париться вообще?)

    ZloySega avatar
    ZloySega8 февраля 2019
    2

    @triller, Дак не зачем. Не думай. Покупай то что дают. Один телефон. Одна ось. Всё круто. Мозг не напрягается.
    Вместо одного Айфона можно купить 4 сяоми а2.
    Не закрывай вкладку, пока считаешь на калькуляторе, а то перегрузится ещё.

    triller avatar
    triller8 февраля 2019
    1

    @ZloySega, У меня есть над чем подумать и так, зачем мне голову забивать не нужными вещами.
    Я на себе любимом не привык экономить и нервы мне мои дороже.
    У меня была мысль после призентации Xs купить андроид и не париться, но как только окунулся туда, понял сколько всего придется перелопать, плюнул и взял айфон, решив что нервы и время дороже чем 20-30тр

    MirrorMsk112 avatar
    MirrorMsk1127 февраля 2019
    2

    @triller, Galaxy S8 – обновления каждый месяц, иногда 2 за месяц ( за последние полтора года)

    triller avatar
    triller8 февраля 2019
    0

    @MirrorMsk112, он такое г-но, что его до сих пор допиливают?))

    MirrorMsk112 avatar
    MirrorMsk1128 февраля 2019
    3

    @triller, ну ты и хомячина)) яблоко значит “выкатывает заплатки”, а Samsung “Допиливает говно”?)

    triller avatar
    triller8 февраля 2019
    0

    @MirrorMsk112, ну яблоко не по две заплатки в месяц выкатывает?) Выкатывает по мере необходимости плюс плановые крупные обновления ОС, где-то раз в полгода.
    А самсунг не Андроид не разрабатывает, а латает только свою оболочку.
    Поэтому вот такие вот регулярные обновления у меня всегда вызывают подозрения. Либо обновления ради обновления, типа смотрите, как мы работаем. Либо настолько сырой продукт, что его постоянно дорабатывают

    Andrey8 февраля 2019
    1

    @triller, что не новость об обновлении iOS, так «анимированная какашка», «добавлены новые эмодзи». Невероятно крупные и важные обновления :)

    Регулярные обновления безопасности андроид говорят о том, что разработчик ОС держит руку на пульсе и прикладывает все усилия для исправления возможных проблем.

    triller avatar
    triller8 февраля 2019
    0

    @Andrey, каждый видет то что ожидает)
    А так же говорит, что безопасность там очень хреновая)

    Andrey10 февраля 2019
    0

    @triller, а у эпол с их мессенджером и фейстаймом безопасность идеальная? :)

    gegenava avatar
    gegenava8 февраля 2019
    4

    @triller, Они месяц ее не признавали, потом ещё на месяц тупо отключили групповые звонки facetime. 2 дня, лол. С. Скорость.

    triller avatar
    triller8 февраля 2019
    1

    @gegenava, 29 января отключили, 8 февраля выпустили обнову, вы на плутоне живете что у вас месяцы такие?)

    triller avatar
    triller8 февраля 2019
    0

    @triller, точнее на меркурии)

    gegenava avatar
    gegenava8 февраля 2019
    0

    @triller, Видимо на том же Меркурии, что и у вас, если с 29го до 8го это “пара дней”. Если что, про косяк с картинкой я узнал сегодня, а февральскую заплатку, латающую этот баг, на свой пиксель получил вчера. Продолжайте верить что apple лучше.

    triller avatar
    triller8 февраля 2019
    0

    @gegenava, узнали выкатили временное решение и через неделю сделали заплатку
    Залатали в феврале, вот только сколько её латали одному богу известно
    Я вам больше скажу, все дырки андроид вы не занете и не узнаете, это же не IOS дырку в которой все таблойды освещают))

    VZ avatar
    VZ8 февраля 2019
    0

    @triller, в твоем сраном айос дыр уже навалом, так же как и вирусняков и багов на маках, ВЕЗДЕ об этом пишут, эпл в плане безопасности давно уже не лучше других, только вот ты пердишь из танка восхваляя своего гомо царя

    dimasokol avatar
    dimasokol7 февраля 2019
    7

    @triller, да, и верно, в iOS же никогда не было падений системных процессов от какого-нибудь символа в СМСке, например.

    triller avatar
    triller8 февраля 2019
    0

    @dimasokol, вы нить разговора улавливаете или просто тявкнуть захотелось?)

    dimasokol avatar
    dimasokol8 февраля 2019
    0

    @triller, я-то улавливаю, это один и тот же класс ошибок вообще-то. Только в iOS эксплуатация дыры была доступнее любому дебилу, желающему вырубить айфоны своим знакомым. Скопируй два символа, отправь и не парься.

    triller avatar
    triller8 февраля 2019
    0

    @dimasokol, было, не отрицаю, апдейт получили все айфоны, проблема ушла. Тут получат, мягко говоря, не все пользователи андроид, разницу чувствуете?

    Andrey7 февраля 2019
    7

    @triller, сколько уже было дыр в iOS, когда простое SMS убивало девайс насмерть? Или у вас снова амнезия?

    triller avatar
    triller8 февраля 2019
    2

    @Andrey, еще один любитель тявкнуть не по теме)

    Andrey8 февраля 2019
    2

    @triller, противоречащее вашему восприятию мира, в силу вашей эплоупоротости, вы называете «не по теме» :)

    Вы, эплодурачки, совсем от реального мира оторвались. Над вами даже сама компания эпол смеется, а вы продолжаете ее нахваливать.
    Болезные, что с вас взять.

    triller avatar
    triller8 февраля 2019
    0

    @Andrey, слушай умник, где я писал, что в IOS нету дыр?)

    От какого реального мира, от вашего ведра?)

    lugovs avatar
    lugovs8 февраля 2019
    1

    @triller, оно такое же наше,как и ваше,-просто объективнее будь,чучело

    triller avatar
    triller8 февраля 2019
    1

    @lugovs, обойдусь без советов хамоватого нонейма с форума

    lugovs avatar
    lugovs8 февраля 2019
    0

    @triller,ты больше дибилов читай…у iphone уязвимостей не меньше

    larixy avatar
    larixy8 февраля 2019
    0

    @triller, у iOS еще больше дыр чем у андроида. Даже спец оборудование есть ламает в три щета или СМС которое в кирпич превращает

    triller avatar
    triller8 февраля 2019
    0

    @larixy, а не удивляет что для IOS оборудование специальное придумали, чтобы сломать?)

    miller_ avatar
    miller_10 февраля 2019
    0

    @triller, у яблока тоже была лажа с гиф картинкой и блядосимволом

  2. picatchy avatar
    picatchy7 февраля 2019
    8

    Сейчас опять набежит толпа школьников, и начнет доказывать, что ничего страшного не случилось – красть то у них нечего))) Разве что такие же мамкины хакеры уведут ВК и начнут клянчить бабло у друзей)

    triller avatar
    triller7 февраля 2019
    6

    при этом топя за защиту личной информации от властей в соседних темах))

    dimasokol avatar
    dimasokol7 февраля 2019
    5

    @picatchy, the severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

    Перевожу: девайс должен быть в режиме разработчика, ну или в комбинации с ещё какой-то гипотетической дыркой.

    We have had no reports of active customer exploitation or abuse of these newly reported issues — ничего удивительного, куда проще и надёжнее выложить через взломанные сайты очередное «критическое обновление флэш-плеера», которое пугливые дятлы поставят сами, послушно следуя всем инструкциям.

    gegenava avatar
    gegenava8 февраля 2019
    3

    @picatchy, Сейчас набежит толпа хомячков, и начнет доказывать, что то, что подобные дыры на ios чуть ли не каждую неделю латают – это ложь. И тут же, на этом сайте, про это же и пишут. Да, и до эпик фейла в facetime этой уязвимости далеко. Так что “докатились” чуть раньше произошло).

    triller avatar
    triller8 февраля 2019
    0

    @gegenava, т.е. ты сказал лож и все, все должны поверить)

    gegenava avatar
    gegenava8 февраля 2019
    1

    @triller, Я сказал – “ложь”, у меня все в порядке с грамотностью.

    triller avatar
    triller8 февраля 2019
    0

    @gegenava, ну хоть с чем-то порядок))

    lugovs avatar
    lugovs8 февраля 2019
    0

    @picatchy, выше написал-а ниже тебе барану,дословно разжевали…не школьник,только ума у тебя не больше

  3. dmitryermakov avatar
    dmitryermakov7 февраля 2019
    2

    У меня iPhone взломали, когда я просто ответил на комментарий Вконтакте.
    Пришлось все сбрасывать и заново переустанавливать.

    triller avatar
    triller7 февраля 2019
    6

    @dmitryermakov, что за бред, подробней можно?)

    dmitryermakov avatar
    dmitryermakov7 февраля 2019
    1

    @triller, сам был в шоке, не думал что такое возможно. Коммент был очень странный и сразу потом исчез. У меня конечно зародилось сомнение, отвечать или нет, но понадеялся на защищенность iOS.

    picatchy avatar
    picatchy7 февраля 2019
    0

    @dmitryermakov, так что именно случилосЬ?

    dmitryermakov avatar
    dmitryermakov7 февраля 2019
    0

    @picatchy, ПРОСТО ОТВЕТИЛ НА КОММЕНТАРИЙ ВКОНТАКТЕ. Нажал кнопку ответить, набрал текст и отправил. И ничего больше.

    triller avatar
    triller7 февраля 2019
    1

    @dmitryermakov, а со смартфоном что случилось?

    dmitryermakov avatar
    dmitryermakov7 февраля 2019
    0

    @triller, экран потемнел и на нем что-то высветилось. Я сразу перезагрузил телефон, но сафари осталось полностью неработоспособна. Пришлось все сбрасывать и восстанавливать телефон из копии

    Muxaulo avatar
    Muxaulo7 февраля 2019
    3

    @dmitryermakov, больше похоже не на взлом, а на банальный глюк устройства. Который, тем не менее, довольно странный

    triller avatar
    triller8 февраля 2019
    0

    @Muxaulo, взлома, как такового не может быть, без джейла.

    picatchy avatar
    picatchy7 февраля 2019
    5

    @dmitryermakov, в следующий раз не покупай “айфон” в переходе с рук

  4. picatchy avatar
    picatchy7 февраля 2019
    4

    lol, там до кучи еще и можно полностью взломать ведерко просто по блютусу, отправив определенный сигнал.

    Just4You avatar
    Just4You7 февраля 2019
    5

    @picatchy, рентв пересмотрел? :)

    picatchy avatar
    picatchy7 февраля 2019
    3

    @Just4You, оригинал прочти, чудик. Ах да, у тебя с английским беда

    triller avatar
    triller7 февраля 2019
    5

    @Just4You, а сбер и другие крупные банки к своим приложениям на ведре антивирус прикручивают наверное просто так, благотворительностью занимаются?)

  5. tov.Polkovnik avatar
    tov.Polkovnik7 февраля 2019
    1

    На Win когда-то тоже была аналогичная уязвимость :) Паники-то было….

  6. Oleg Kosachev7 февраля 2019
    3

    загуглите – картинка png взлом android
    ещё в 2014 году была такая дыра! и никто её не замечал. только щас заметили. Очень странно(

    dimasokol avatar
    dimasokol8 февраля 2019
    0

    @Oleg Kosachev, я скажу больше: для iOS не пишут весь код с нуля, берут всё ту же самую libpng или другие подобные решения. Там есть (или была) ровно та же дыра, поздравляю)

  7. VZ avatar
    VZ7 февраля 2019
    4

    Автор, а статистика пострадавших пользователей есть? Или также просто копипастить будете?

    dimasokol avatar
    dimasokol7 февраля 2019
    1

    @VZ, we have had no reports of active customer exploitation or abuse of these newly reported issues.

    triller avatar
    triller8 февраля 2019
    0

    @VZ, у ведра столько дырок, что статистку по пострадавшим уже давно никто не ведет, енпонятно от ккой конкретно пострадал пользователь Это же в IOS каждая найденная дырка повод для новости)

    VZ avatar
    VZ8 февраля 2019
    0

    @triller, главное, что когда кук забавляется с вашими дырками, вы себя пострадавшими не считаете

  8. bassist avatar
    bassist7 февраля 2019
    0

    Разве ведерко сложно рутануть шнурком?

    triller avatar
    triller8 февраля 2019
    0

    @bassist, не у каждого производителя рут права можно получить

    VZ avatar
    VZ8 февраля 2019
    0

    @triller, слишком много у тебя познаний про андроид, походу ты с ксяоми гоняешь, надрачивая перед сном на яблоко

    triller avatar
    triller8 февраля 2019
    0

    @VZ, по себе людей не судят)) А я вообще разносторонне развитый человек, про андроид тоже не мало знаю, поэтому себе и не беру

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь