Fallo grave de seguridad en Android: una simple imagen PNG puede hackearte
Descubren una vulnerabilidad que permite a un atacante meter un exploit en una imagen PNG.
El a?o pasado vimos como recibir un mensaje con un simple car¨¢cter hind¨² pod¨ªa bloquear las apps de mensajer¨ªa de iOS y obligar a reiniciar el m¨®vil o tablet. Y tambi¨¦n descubrimos el c¨ªrculo negro de WhatsApp, una imagen recibida por WhatsApp que al abrirla bloqueaba el terminal entero. Pero estos dos casos eran en s¨ª fallos del sistema que no implicaban m¨¢s que un reinicio del terminal. Lo que Google ha descubierto en las versiones m¨¢s recientes de Android es m¨¢s grave.
Hackeado por abrir una imagen PNG
En el bolet¨ªn de la actualizaci¨®n de seguridad Android para febrero, Google ha anunciado que han descubierto una vulnerabilidad en su sistema Android, dentro del marco de trabajo del sistema operativo. Una vulnerabilidad que propicia que alguien pueda hackearnos el m¨®vil con s¨®lo usar una imagen PNG. No se trata de instalar ninguna APK, ninguna app, sino que bastar¨ªa una foto en formato .png que, al recibirla y abrirla para verla, activar¨ªa el exploit que llevar¨ªa dentro y permitir¨ªa a un atacante remoto ejecutar un c¨®digo arbitrario que le diese un acceso privilegiado al terminal. Solo ver una imagen tumbar¨ªa la seguridad de nuestro m¨®vil Android.
La vulnerabilidad, que afecta a todas las versiones del SO entre Android 7.0 y Android 9.0, es uno de los tres bugs que Google ha encontrado dentro del framework de Android, y de lejos el fallo m¨¢s grave en la actualizaci¨®n de febrero. Las otras dos son fallos de ejecuci¨®n remota de c¨®digo que se centran en la librer¨ªa Android, archivos del sistema y en componentes Nvidia. Por razones de seguridad, Google no ha revelado los detalles t¨¦cnicos de c¨®mo funcionar¨ªa el exploit integrado en un .PNG, pero tampoco ha recibido de momento informes ni avisos de que haya alguien explotando esa vulnerabilidad en su provecho.
Actualizar en cuanto est¨¦ disponible
De momento, Google trabaja en solucionar el fallo, por lo que este sigue ah¨ª. Todav¨ªa no hay un parche que instalar -aunque quiz¨¢s los m¨®viles Pixel de Google ya lo tengan-, pero en cuanto lo anuncien os lo haremos saber, ya que ser¨¢ un update obligatorio por razones de seguridad. En caso de tener un smartphone con una de las versiones Android afectadas pero sin el parche de seguridad, lo mejor es contar con un antivirus actualizado. Eso y estar alerta ante el contenido que recibimos, abrimos y de qui¨¦n nos lo env¨ªa.