В ОС Android обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к устройствам пользователей. Уязвимость (CVE-2019-2107) затрагивает версии Android от 7.0 до 9.0 (Nougat, Oreo и Pie) и позволяет удаленно выполнить код без дополнительных прав. Эксплоит для уязвимости был опубликован на GitHub исследователем Марцином Козловски (Marcin Kozlowski).
Как пояснил Козловски, злоумышленник может скомпрометировать устройство с помощью вредоносного видеофайла, отправив его, например, по электронной почте (приложение Gmail способно загружать видео с помощью стандартного видеопроигрывателя Android). В случае открытия файла пользователем, злоумышленник может получить доступ к устройству жертвы.
Успешная эксплуатация уязвимости возможна при одном условии – пользователь должен будет загрузить вредоносное видео только в неизменном виде. Атака, предположительно, также не будет эффективной при отправке вредоносного файла через сервисы, которые перекодируют видео, например, YouTube, WhatsApp и пр.
В настоящее время неизвестно, сколько именно устройств подвержено риску. По данным Google, в мае 2019 года насчитывалось более 2,5 млрд активных телефонов на базе Android. Из них почти 58% (около 1,5 млрд) работают под управлением уязвимых версий ОС.
Компания Google уже выпустила обновление, исправляющее уязвимость, сообщает SecurityLab.