De beveiligingsupdates die Google deze week voor Android uitrolde blijken ook een ernstig lek te verhelpen waardoor het mogelijk is om via een kwaadaardig jpeg-plaatje toestellen aan te vallen. Een aanvaller hoeft de afbeelding alleen naar een slachtoffer te versturen, verdere interactie is niet vereist.
Het probleem wordt veroorzaakt door een softwarebibliotheek die Exif-data van jpeg-afbeeldingen probeert uit te lezen. Exif is de standaard voor het opslaan van metadata in foto's. De kwetsbaarheid werd door onderzoeker Tim Strazzere van beveiligingsbedrijf SentinelOne ontdekt. De onderzoeker testte zijn aanval met Gmail en Gchat, maar ook andere apps die de kwetsbare bibliotheek aanroepen lopen risico.
Zodra een gebruiker bijvoorbeeld een e-mail met de afbeelding opent, waarbij het niet nodig is om op de afbeelding te klikken of de bijlage te openen, wordt de kwaadaardige code in het jpeg-bestand automatisch uitgevoerd. Een aanvaller kan vervolgens willekeurige code op het toestel uitvoeren. De aanval kan echter ook via web-apps worden uitgevoerd, waarbij een gebruiker een kwaadaardig jpeg-bestand als profielfoto of avatar zou uploaden.
Bij sommige van de aanvalspogingen bleek Strazzere de toestellen die hij gebruikte te "bricken", zodat het besturingssysteem opnieuw geïnstalleerd moest worden. Ook kwam het voor dat de telefoons zichzelf eindeloos bleven herstarten, zo melden Forbes en ThreatPost. Hoewel Google updates voor het probleem heeft uitgebracht blijft het de vraag of alle kwetsbare Androidtoestellen die ook zullen ontvangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.