1 сентября специалисты Google исправили критическую уязвимость, которую обнаружил эксперт в сфере информационной безопасности из SentinelOne Тим Страццере.
Данная брешь в чем-то схожа с уязвимостью Stagefright, которая давала возможность осуществлять взлом устройства на базе Android, используя простое текстовое сообщение, о существовании которого пользователь даже мог не знать. Сейчас для проведения атаки злоумышленник должен просто прислать вредоносный фотоснимок. Жертва может даже не нажимать на него, поскольку во время анализа изображения телефоном хакер может скрытно захватить контроль над устройством.
Причиной существования уязвимости является ошибка при обработке EXIF-данных в приложении Mediaserver. По словам Страццере, для использования уязвимости нужно лишь, чтобы приложение осуществило загрузку изображения.
Как утверждает исследователь, хакер может добавить простой эксплоит в изображение, которое отправляется жертве. Страццере создал эксплоит для уязвимых устройств, который работает в случае с Gchat, Gmail и большинством мессенджеров и приложений социальных сетей. Уязвимость присутствует во всех устройствах под управлением версий Android 4.4.4-6.0.1.