Android, un file PNG può mettere a rischio la sicurezza. Patch in distribuzione

08 Febbraio 2019 69

Google ha rilevato e documentato una vulnerabilità di Android che può essere sfruttata utilizzando un'immagine in formato .PNG creata dagli hacker. La falla nel framework del sistema operativo Android, documentata nel bollettino sulla sicurezza pubblicato da Google a febbraio (link in FONTE), permette permetterebbe l'esecuzione di codice arbitrario nel contesto di un processo privilegiato tramite l'apertura del sopraccitato file, apparentemente innocuo agli occhi dell'utente finale, ma potenzialmente in grado di mettere a rischio la sicurezza del sistema.

Le versioni di Android interessate dalla vulnerabilità vanno dalla 7.0 alla 9.0. Google ha già chiuso la falla con le patch di febbraio, ma non ha fornito molti dettagli sul funzionamento dell'exploit, visto che gli aggiornamenti di sicurezza relativi al mese in corso sono tuttora in distribuzione - hanno raggiunto da pochi giorni i dispositivi Pixel e i primi terminali di terze parti a partire dall'Essential Phone.

Mancano casi documentati in cui gli hacker siano riusciti a sfruttare la vulnerabilità, ma, per precauzione, è bene scaricare e installare le patch di febbraio non appena saranno disponibili per il proprio terminale - la tempistica varia in base al singolo produttore. Nel frattempo, è consigliato evitare il download e l'apertura di immagini in formato .PNG provenienti da fonti non attendibili o sconosciute - in linea teorica, anche un innocente meme potrebbe essere il vettore dell'attacco.

Medio gamma senza compromessi? Samsung Galaxy A7 2018 è in offerta oggi su a 209 euro.

69

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
untore

Molti *cinesoni* Android vorrai dire....e poi lunga vita a cosa che è morto e sepolto WM?

sopaug

pardon, ma non c'è alcuna ambiguità in quanto scritto da google, si tratta di capacità di tradurre dal'inglese e semplice logica:

The severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

quasi letteralmente:

La criticità della valutazione è basata sugli effetti che si potrebbero avere sui dispositivi coinvolti sfruttando la vulnerabilità, assumendo che le mitigazioni della piattaforma o dei servizi siano stati spenti per esigenze di sviluppo o se bypassati con successo.

L'ultimo "bypassati" chiaramente non può essere ascritto alla vulnerabilità stessa, altrimenti sarebbe una tautologia e non avrebbe il minimo senso. Che poi giustamente google sia vaga circa le modalità è un altro discorso, ma questo non vuol dire che esiste un magico png che viola un dispositivo android perfettamente integro.

matteventu

Che spasso e che ricordi...

bjtmosfet
matteventu
ferragno
Ryder_173

Tiè. E ci sono altri casi come questo, peggiori anche. Tipo le app di sistema come la galleria, il launcher e il dialer/contatti che richiedono una versione piu nuova. Addirittura per avere l'ultimo launcher e gestione mobile di asus serve android 9.0... Ma qui mi sa di obsolescenza programmata

bjtmosfet

Pensare che una volta la PSP si modificava proprio grazie a una foto PNG modificata ad hoc che faceva crashare tutto e partire il codice modificato

GrantMills

I telefoni w10m a che patch sono fermi invece?

yepp
MasterBlatter

Le patch di sicurezza non sono aggiornamenti di versione e possono essere rilasciati in parte anche attraverso il playservices

vince

Pardon mio, ma nel testo dell'articolo:
-La falla [...] permette l'esecuzione di codice arbitrario nel contesto di un processo privilegiato tramite l'apertura del sopraccitato file, apparentemente innocuo agli occhi dell'utente finale, ma potenzialmente in grado di mettere a rischio la sicurezza del sistema

Toglierei allora il "permette" ed aggiungerei "permetterebbe"

- Nel frattempo, è consigliato evitare il download e l'apertura di immagini in formato .PNG provenienti da fonti non attendibili o sconosciute

Basta un link ad una pagina web in cui è contenuto il file PNG modificato...impossibile fermare l'apertura / download (inteso come download da parte del sistema per permettere la visualizzazione). Da quello che sappiamo potrebbe anche essere un'immagine condivisa con Whatsapp in qualche gruppo...quindi non ha tanto senso il consiglio...

Con le critiche costruttive si va certamente avanti , ma per le pubblicità capisco che occore il flame.

Buon lavoro.

ghost

Maps ho fatto come hai detto e sembra andare un po' meglio. Paypal mi risulta installabile evidentemente ho beccato una finestra temporale in cui non lo era.

modhdblog

Pardon ma:

- Abbiamo precisato al terzo paragrafo che non esistono casi documentati
- Che è una falla corretta con le patch di febbraio
- Che basta scaricare o attendere le patch di febbraio adottando qualche semplicissima precauzione per non incorrere in alcun rischio.
- Nel titolo è specificato "può" - possibilità - e che è una falla già in fase di correzione
- La fonte della notizia è il bollettino di sicurezza di Google, non una nostra speculazione.
- E' stato anche specificato perchè Google non ha fornito di dettagli
- Non abbiamo mai usato toni allarmistici (grave, gravissima)

Grazie comunque degli stimoli che ci spronano a migliorare.

PUTinV2

ci fosse qualche funzione indispensabile delle nuove versioni... Questo mi fa capire che il sw samsung è anni avanti o quello google a essere anni indietro D:

vince

Attendiamo...però perdonatemi l'insinuazione, ma la notizia così com'è stata scritta ha generato soltanto flame e preoccupazione.

Cercate di essere più oggettivi o più cauti nel rilasciare notizie del genere. Magari a fine articolo mettete : in attesa di conferme / smentite da Google nelle prossime ore/giorni.

vince

Qui si parla di un caso nettamente diverso:
https://www.pcmag.com/news/366405/new-android-bug-can-let-hackers-attack-phone-with-png-image

The bulletin is deliberately vague on details, but Google said the issue was the most critical security vulnerability to be addressed on the list. It isn't hard to imagine why; by exploiting the flaw, a hacker could send harmless-looking PNG files to victims over email, a messaging app, or social media that in reality trigger an Android device to download additional malware.

Quindi dovrebbe essere scaricato un altro SW ed installato, cosa che PlayProtect annullerebbe , sarebbe facile da difendere una volta conosciuto il package del malware....

Ancora:

Still, Google hasn't released technical details of the flaw. That means it won't be easy for anyone to discover the hacking method. The company has also received no reports of anyone exploiting the vulnerability against real users

Real user , nessun attacco riconosciuto.

Quindi sembra più un attacco come quelli che si fanno agli eventi organizzati ogni anno e su cui ogni volta viene fuori una notizia apocalittica.

Attendiamo chiarimenti dal mondo insomma.

modhdblog

I dettagli sono scarsi per precisa scelta di Google, visto che le patch sono ancora in distribuzione, quindi la tecnica esatta non è nota a nessuno. Resta una seconda ipotesi "if succesfully bypassed" che non coincide con la volontaria disattivazione dei sistemi di sicurezza.

vince

State dicendo che l'hacker è in grado di bypassare i sistemi di sicurezza SOLO con la PNG modificata? Siete sicuri di ciò?

Perché per come l'ho intesa, la parte in grassetto fa riferimenti all'ipotetico attacco tramite PNG SE i sistemi di sicuezza vengono bypassati PRIMA

In rete non ho trovato granché in merito, quindi rimango col dubbio che appunto l'attacco vada a buon fine solo se i sistemi di sicurezza non funzionano (per un motivo o per l'altro)

modhdblog

Buongiorno, riguarda 1 condizione ma che si può creare con due modi diversi, anche con un intervento sul quale l'utente può non avere non ha il controllo, come specificato sopra.

Non ci sembra di aver usato toni allarmistici.

modhdblog

Buongiorno, una precisazione sulla precisazione:

La parte in grassetto fa riferimento a due condizioni diverse, distinte da quel "OR"

1) Che le misure si sicurezza siano disabilitate, volontariamente come avviene nel caso del root, ad esempio.

OR - oppure

2) Che vengano bypassate con successo - che è ciò che può fare un hacker.

Nel caso 2) il rischio c'è ed è quello che abbiamo scritto facendo riferimento all'hacker che può predisporre un file .PNG ad hoc.

Dea1993

fantastico... praticamente la si stava spacciando come falla gravissima, quando in realtà riguarda solo una condizione in cui i telefoni normalmente non vengono venduti (solo pochi cinesi e forse neanche più loro) vendono telefoni con il root gia abilitato, e che comunque riguarda solo una minima percentuale di utenti (visto che in pochissimi abilitano i permessi di root).

pakocero

e devo ancora prendere un raffreddore!!

sono troppo forte! :-)

Francesco Badini

Non sono d'accordo. Guardasi i nokia, i modelli che costano 2-300 euro ricevono gli stessi identici aggiornamenti dei modelli da 800€. Quella del costo è solo una scusa

Francesco Badini
sopaug

Solita notizia data a c per generare flame... Bravo che hai specificato

vince

Su Maps prova a pulire la cache e magari a disabilitare un pò di robe tipo mappe offline, etc etc

Arrivano ai top di gamma e nemmeno tutti,poi dipende quando arrivano,io per "arrivano" intendo quelle di febbraio nei primi giorni di febbraio non a marzo o aprile

ghost

PayPal sembra strano anche a me perché compatibile o meno dovrebbe avere le versioni storiche e quindi anche se vecchio dovrei poterlo installare (Se non l'hanno tolto per motivi di sicurezza visto che si parla di soldi)
Maps lo uso per 2 minuti poi rallenta sempre più fino a crashare e non ho idea del perché

vince

Asp....
Paypal dal PlayStore indica chiaramente che può essere installato su 4.4 e versioni successive

Ti dico aspetta, perché in questi giorni a me l'app di RyanAir non va più e non posso nemmeno installarla dal PlayStore, mi dice che non è disponibile (ho già segnalato la cosa agli sviluppatori) ed ho Android 8.1 ...

Quindi prova a scrivere a Paypal in caso.

Keep invece richiede android 5.0+, quindi niente, mi spiace. (Strano perché appunto Maps è invece supportato)

vince

Play Protect è uno degli strumenti per limitare i danni ad esempio, di app dannose.

In questo caso per le png che possono arrivare da qualsiasi app, credo si riferiscano ad esempio alla pratica del root, con cui garantisci tutti i permessi a tutte le app (ps. si lo so che esiste anche SuperSU per gestire le singole app / processi...) e di conseguenza annulleresti la politica della sandbox tra app=>sistema.

Poi a livello così basso di sicurezza non ne so molto :(

ghost

In realtà no ho android 4.4 e negli ultimi mesi non si possono aggiornare app come paypal, note/keep e altre che non ricordo. Tra l'altro ho maps cch mi crash random e non capisco perché.

SteveMcQueer
ghost

È impossibile stai mentendo!!!!

vince

ha tutte le app aggiornate all'ultima versione...è rimasto indietro solo con l'interfaccia alla fine.

Lato sicurezza attacchi del genere fanno solo notizia, ma di vittime ce ne sono pochissime.

Ploser

Oggi sono abbastanza rinco (ho 3 ore di sonno...), quindi chiedo: che si intende per "platform and service mitigations"?

RiccardoC

differenza da nulla insomma... imbarazzante!
Ma in generale mi sto facendo l'idea che questi oggetti a cui lasciamo ogni info utile sulla nostra vita (gli smartphone) siano inevitabilmente dei colabrodi di sicurezza, non come i dispositivi "IOT", ma quasi.
Perché scrivo questo? I motivi sono diversi:
- sono prodotti nuovi modelli a ritmo elevatissimo
- sono pochissimi i dispositivi aggiornati dopo 2 anni e quasi nessuno oltre i 3
- sono prodotti in grande economia

il terzo punto implica che il secondo non migliorerà mai, per un discorso di costi.

Dark!tetto

Beh, a sto punto sei abbastanza consapevole da non fare fesserie e al massimo ti impegni a installare le patch manualmente e non hai un sistema colabrodo. Lo faccio da oltre 10 anni con Android e prima ancora con Windows e Symbian e non ho mai avuto problemi o furto di dati, che io sappia almeno.

vince

Eh l'informazione oggettiva si sta perdendo ai nostri tempi....
Piace il dibattito costruito su basi false o non completamente vere. :)

HDBlog in questo senso, ultimamente ci sta marciando, si vede che Nic deve comprare la villa per le vacanze xD

deepdark

Puoi rigirare la frittata, la str0nzata rimane. Anzi, ti sei dato la zappa sui piedi visto che ci sono terminali del 2016.

Ansem The Seeker Of Darkness

E cosa ti aspetti dai telefoni da 200€? Che siano aggiornati al pari di quelli che costano 3 volte tanto? Il costo del device include anche il supporto

Sterium

il root se usato con raziocinio non è assolutamente un fattore di non sicurezza...

Ansem The Seeker Of Darkness

frindly reminder che per la globalità gli aggiornamenti sono una rottura e fosse per loro li bloccherebbero tutti.
E' solo sui siti di informatica dove la gente se li riceve con 3 giorni di ritardo grida al cataclisma.
Fonte: MS ha dovuto renderli obbligatori perchè altrimenti "il cuggino" diceva di disabilitarli

M3r71n0

E infatti... non smette di funzionare.

asd555

Mi burlo da solo: Google fa di tutto per proteggere i suoi utenti, poi ci sono io che rendo il sistema un colabrodo... Infatti se mai dovessi avere problemi per questo, devo solo starmi zitto va'.

Sterium

e con la notizia che c'entra??? avevi voglia di scrivere cose a caso???

GianlucaA

Carta canta. E di terminali distribuiti del 2016 O prima ne vedo ben pochi
Che poi si comporti meglio di molti altri brand è indubbio
https://uploads.disquscdn.c...

momentarybliss

in effetti è nel changelog delle patch di febbraio diffuso da samsung

MikaHakkinen

No, quelli sono gli Honor..tipo il mio

MikaHakkinen

Che gli frega.. tanto funzionah ancorahhh11!!1

24 ore con Nokia 9 PureView: 5 fotocamere ma...

Huawei P30 e P30 Pro ufficiali: video anteprima

Recensione Samsung Galaxy S10e: ecco perchè lo preferisco ad altri

Android Q: tutte le novità in costante aggiornamento | VIDEO