Google ha rilevato e documentato una vulnerabilità di Android che può essere sfruttata utilizzando un’immagine in formato .PNG creata dagli hacker.
La falla nel framework del sistema operativo Android, documentata nel bollettino sulla sicurezza pubblicato da Google a febbraio, permetterebbe l’esecuzione di codice arbitrario nel contesto di un processo privilegiato tramite l’apertura del sopraccitato file, apparentemente innocuo agli occhi dell’utente finale, ma potenzialmente in grado di mettere a rischio la sicurezza del sistema.
Le versioni di Android interessate dalla vulnerabilità vanno dalla 7.0 alla 9.0. Google ha già chiuso la falla con le patch di febbraio, ma non ha fornito molti dettagli sul funzionamento dell’exploit, visto che gli aggiornamenti di sicurezza relativi al mese in corso sono tuttora in distribuzione – hanno raggiunto da pochi giorni i dispositivi Pixel e i primi terminali di terze parti a partire dall’Essential Phone.
Mancano casi documentati in cui gli hacker siano riusciti a sfruttare la vulnerabilità, ma, per precauzione, è bene scaricare e installare le patch di febbraio non appena saranno disponibili per il proprio terminale – la tempistica varia in base al singolo produttore. Nel frattempo, è consigliato evitare il download e l’apertura di immagini in formato .PNG provenienti da fonti non attendibili o sconosciute – in linea teorica, anche un innocente meme potrebbe essere il vettore dell’attacco.
