Разделы

Безопасность Пользователю Техника Мобильность

Миллиард устройств на Android можно взломать, переслав им видео

RCE-уязвимость, исправленная в июльском обновлении Android, позволяет с помощью специально подготовленного видеофайла вызвать сбой в штатном медиаплеере системы или запустить вредоносный код.

Видеодоказательство на миллиард

Критическая уязвимость в Android версий 7.0-9.0 позволяет производить взлом устройства с помощью видеофайла.

Получившая индекс CVE-2019-2107 уязвимость потенциально затрагивает около миллиарда устройств во всём мире.

«Баг» присутствует в медиафреймворке Android; благодаря ему злоумышленник с помощью специально подготовленного видеофайла запустить произвольный код в контексте процесса с высокими привилегиями в системе.

Программист Марцин Козловски (Marcin Kozlowski) представил пробный эксплойт, который способен вызвать сбой в работе встроенного медиаплеера Android. Впрочем, разработчик уверяет, что это самый безобидный вариант использования «бага». Аналогичный эксплойт можно использовать и для запуска произвольного кода.

Вопрос кодировки

Впрочем, по словам эксперта, видеофайл потребуется передать на устройство напрямую: в случае загрузки на Youtube или в Twitter и пересылки через WhatsApp или Facebook Messenger, атака не сможет быть реализована, поскольку в этих ресурсах производится перекодирование видеофайла, и потенциально вредоносный фрагмент кода теряется.

С помощью специально подготовленного видеофайла можно вызвать сбой в штатном медиаплеере Android или запустить вредоносный код

«Этим угроза атаки несколько смягчается, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Прямая отправка видеофайла в условиях, когда нормой считается загрузка видео на специализированные хостинги или в социальные сети, - это уже достаточно подозрительное явление. Другое дело, что с помощью нехитрой социальной инженерии можно заставить среднестатистического пользователя открыть и запустить и нечто куда менее безобидное, чем видеофайл».

Исправления в Android были внесены ещё в июльском обновлении операционной системы, однако миллионы устройств ещё не получили обновления от производителя, так что угроза сохраняется.

Роман Георгиев