Разработчики Google сообщили в своём блоге о критической уязвимости Android, позволявшей получить доступ к смартфону с помощью обычного PNG-файла.
Кто подвержен взлому
Абсолютно все устройства под управлением Android 7 Nougat и выше.
Как это работает
Для взлома нужна специальным образом сконфигурированная PNG-картинка. Она способна выполнять произвольный код в привилегированном процессе.
Подробностей в компании не стали раскрывать по очевидным причинам. Единственное, что известно — уязвимость скрывается в кодеке PNG.
Как защититься
Необходимо установить февральское обновление безопасности, которое Google начала рассылать на этой неделе. Пока оно доступно на смартфонах Pixel, Essential Phone и некоторых моделях Samsung Galaxy.
Остальным придётся ждать апдейта от производителей. Зная их, это может произойти не очень быстро. Б — безопасность. [The Register]
(24 голосов, общий рейтинг: 3.54 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
82 комментариев
Форум →вот он главный минус андроида и главная причина почему я плачу яблоку такие деньги за айфоны
@triller, а потом ты узнаешь новость про критическую уязвимость FaceTime…
@FrogTS, и через пару дней узнаю, что она исправлена) тут же хз когда исправят и исправят ли вообще
точнее не так выразился дойдет ли заплатка до моего смартфона
@triller, тут ты даже достоверно не знаешь в чем уязвимость и насколько она серьезна, но верещишь :) Дырок в яблооси столько что хватит на 5 лет вперед :)
Дыра в фасетиме существовала много месяцев так-то :) и совершенно случайно левые люди о ней рассказали.
@Just4You, сколько месяцев? Два?
@Just4You, я не верещу, а спокойно говрю, верещите только вы тут)
Дырки в яблооси правят причем регулярно и качественно.
Дырки в андроиде хоть и правят, но до конечного пользователя они доходят далеко не всегда из-за наплевательского отношения производителя
А если у тебя девайс 2-3 летней давности, то получить заплатку можно не рассчитывать с вероятностью близкой к 100%
@triller, дырки в андроиде латают также быстро как и в айоси. Вопрос в том что есть производителе телефонов, которые не торопятся обновлять выпущенные ими же телефоны на этой оси. Так это проблема Андроида или все же конкретных производителей?
@simplevvay, а я что написал?)). Решили поиграть в кэпа?)
Мне, как конечному потребителю, глубоко срать из-за чего мой телефон плохо работает. производитель телефона не выпустил вовремя обнову или Гугл тормозит, зачем мне этот головняк). Примерно такое же отношение у меня к винде
@Just4You, если Вы хотите чтобы не было “дырок” – купите полнотелый кирпич, и звоните по нему.
Сегодня такие реалии, что ПО без дырок – это фантастика. Важнее то, чем вызваны эти дыры и как быстро их фиксят.
@triller, исправлена каким образом? Выключили групповые звонки на серверах? Отличное исправление!
@FrogTS, выпустят в ближайшее время заплатку и получат ее все смертфоны, которые еще поддерживаются.
@triller, вот когда выпустят тогда и открывай свой рот
@VZ, после выключения уязвимость уже не опасна. А вот андроид-картиночка в деле.
@smbros, ну если только в ваших эротических снах
@VZ, так уже выпустили)
@triller, умница, возьми с полки пирожок
@triller, все претензии к твоему производителю смартфона можешь предъявить. Гугл закрыла дыру в февральском патче. И этот патч уже стоит на моём смарте если что.
@FrogTS, мой производитель смартфонов это Apple, у меня к нему если и есть притензии то они не по этому вопросу))
Одни пиксели покупать, которые гарантируемо поддерживаются? гнусмасы по цене айфона и потом уже гадать выпустят они или нет, а у остальных вообще чехарда
@triller, есть линейка устройств Android One, которые также гарантированно в течение нескольких лет получают обновления безопасности и обновления системы. Причём, производителей несколько, и выбор устройств довольно неплохой
@Muxaulo, вот зачем мне, как конечному потребителю выискивать эти тонкости, лазить по форумомам, искать эти самые андроид1, у которого более чем уверен есть свои минусы, когда я могу купить айфон и не париться вообще?)
@triller, Дак не зачем. Не думай. Покупай то что дают. Один телефон. Одна ось. Всё круто. Мозг не напрягается.
Вместо одного Айфона можно купить 4 сяоми а2.
Не закрывай вкладку, пока считаешь на калькуляторе, а то перегрузится ещё.
@ZloySega, У меня есть над чем подумать и так, зачем мне голову забивать не нужными вещами.
Я на себе любимом не привык экономить и нервы мне мои дороже.
У меня была мысль после призентации Xs купить андроид и не париться, но как только окунулся туда, понял сколько всего придется перелопать, плюнул и взял айфон, решив что нервы и время дороже чем 20-30тр
@triller, Galaxy S8 – обновления каждый месяц, иногда 2 за месяц ( за последние полтора года)
@MirrorMsk112, он такое г-но, что его до сих пор допиливают?))
@triller, ну ты и хомячина)) яблоко значит “выкатывает заплатки”, а Samsung “Допиливает говно”?)
@MirrorMsk112, ну яблоко не по две заплатки в месяц выкатывает?) Выкатывает по мере необходимости плюс плановые крупные обновления ОС, где-то раз в полгода.
А самсунг не Андроид не разрабатывает, а латает только свою оболочку.
Поэтому вот такие вот регулярные обновления у меня всегда вызывают подозрения. Либо обновления ради обновления, типа смотрите, как мы работаем. Либо настолько сырой продукт, что его постоянно дорабатывают
@triller, что не новость об обновлении iOS, так «анимированная какашка», «добавлены новые эмодзи». Невероятно крупные и важные обновления :)
Регулярные обновления безопасности андроид говорят о том, что разработчик ОС держит руку на пульсе и прикладывает все усилия для исправления возможных проблем.
@Andrey, каждый видет то что ожидает)
А так же говорит, что безопасность там очень хреновая)
@triller, а у эпол с их мессенджером и фейстаймом безопасность идеальная? :)
@triller, Они месяц ее не признавали, потом ещё на месяц тупо отключили групповые звонки facetime. 2 дня, лол. С. Скорость.
@gegenava, 29 января отключили, 8 февраля выпустили обнову, вы на плутоне живете что у вас месяцы такие?)
@triller, точнее на меркурии)
@triller, Видимо на том же Меркурии, что и у вас, если с 29го до 8го это “пара дней”. Если что, про косяк с картинкой я узнал сегодня, а февральскую заплатку, латающую этот баг, на свой пиксель получил вчера. Продолжайте верить что apple лучше.
@gegenava, узнали выкатили временное решение и через неделю сделали заплатку
Залатали в феврале, вот только сколько её латали одному богу известно
Я вам больше скажу, все дырки андроид вы не занете и не узнаете, это же не IOS дырку в которой все таблойды освещают))
@triller, в твоем сраном айос дыр уже навалом, так же как и вирусняков и багов на маках, ВЕЗДЕ об этом пишут, эпл в плане безопасности давно уже не лучше других, только вот ты пердишь из танка восхваляя своего гомо царя
@triller, да, и верно, в iOS же никогда не было падений системных процессов от какого-нибудь символа в СМСке, например.
@dimasokol, вы нить разговора улавливаете или просто тявкнуть захотелось?)
@triller, я-то улавливаю, это один и тот же класс ошибок вообще-то. Только в iOS эксплуатация дыры была доступнее любому дебилу, желающему вырубить айфоны своим знакомым. Скопируй два символа, отправь и не парься.
@dimasokol, было, не отрицаю, апдейт получили все айфоны, проблема ушла. Тут получат, мягко говоря, не все пользователи андроид, разницу чувствуете?
@triller, сколько уже было дыр в iOS, когда простое SMS убивало девайс насмерть? Или у вас снова амнезия?
@Andrey, еще один любитель тявкнуть не по теме)
@triller, противоречащее вашему восприятию мира, в силу вашей эплоупоротости, вы называете «не по теме» :)
Вы, эплодурачки, совсем от реального мира оторвались. Над вами даже сама компания эпол смеется, а вы продолжаете ее нахваливать.
Болезные, что с вас взять.
@Andrey, слушай умник, где я писал, что в IOS нету дыр?)
От какого реального мира, от вашего ведра?)
@triller, оно такое же наше,как и ваше,-просто объективнее будь,чучело
@lugovs, обойдусь без советов хамоватого нонейма с форума
@triller,ты больше дибилов читай…у iphone уязвимостей не меньше
@triller, у iOS еще больше дыр чем у андроида. Даже спец оборудование есть ламает в три щета или СМС которое в кирпич превращает
@larixy, а не удивляет что для IOS оборудование специальное придумали, чтобы сломать?)
@triller, у яблока тоже была лажа с гиф картинкой и блядосимволом
Сейчас опять набежит толпа школьников, и начнет доказывать, что ничего страшного не случилось – красть то у них нечего))) Разве что такие же мамкины хакеры уведут ВК и начнут клянчить бабло у друзей)
при этом топя за защиту личной информации от властей в соседних темах))
@picatchy, the severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.
Перевожу: девайс должен быть в режиме разработчика, ну или в комбинации с ещё какой-то гипотетической дыркой.
We have had no reports of active customer exploitation or abuse of these newly reported issues — ничего удивительного, куда проще и надёжнее выложить через взломанные сайты очередное «критическое обновление флэш-плеера», которое пугливые дятлы поставят сами, послушно следуя всем инструкциям.
@picatchy, Сейчас набежит толпа хомячков, и начнет доказывать, что то, что подобные дыры на ios чуть ли не каждую неделю латают – это ложь. И тут же, на этом сайте, про это же и пишут. Да, и до эпик фейла в facetime этой уязвимости далеко. Так что “докатились” чуть раньше произошло).
@gegenava, т.е. ты сказал лож и все, все должны поверить)
@triller, Я сказал – “ложь”, у меня все в порядке с грамотностью.
@gegenava, ну хоть с чем-то порядок))
@picatchy, выше написал-а ниже тебе барану,дословно разжевали…не школьник,только ума у тебя не больше
У меня iPhone взломали, когда я просто ответил на комментарий Вконтакте.
Пришлось все сбрасывать и заново переустанавливать.
@dmitryermakov, что за бред, подробней можно?)
@triller, сам был в шоке, не думал что такое возможно. Коммент был очень странный и сразу потом исчез. У меня конечно зародилось сомнение, отвечать или нет, но понадеялся на защищенность iOS.
@dmitryermakov, так что именно случилосЬ?
@picatchy, ПРОСТО ОТВЕТИЛ НА КОММЕНТАРИЙ ВКОНТАКТЕ. Нажал кнопку ответить, набрал текст и отправил. И ничего больше.
@dmitryermakov, а со смартфоном что случилось?
@triller, экран потемнел и на нем что-то высветилось. Я сразу перезагрузил телефон, но сафари осталось полностью неработоспособна. Пришлось все сбрасывать и восстанавливать телефон из копии
@dmitryermakov, больше похоже не на взлом, а на банальный глюк устройства. Который, тем не менее, довольно странный
@Muxaulo, взлома, как такового не может быть, без джейла.
@dmitryermakov, в следующий раз не покупай “айфон” в переходе с рук
lol, там до кучи еще и можно полностью взломать ведерко просто по блютусу, отправив определенный сигнал.
@picatchy, рентв пересмотрел? :)
@Just4You, оригинал прочти, чудик. Ах да, у тебя с английским беда
@Just4You, а сбер и другие крупные банки к своим приложениям на ведре антивирус прикручивают наверное просто так, благотворительностью занимаются?)
На Win когда-то тоже была аналогичная уязвимость :) Паники-то было….
загуглите – картинка png взлом android
ещё в 2014 году была такая дыра! и никто её не замечал. только щас заметили. Очень странно(
@Oleg Kosachev, я скажу больше: для iOS не пишут весь код с нуля, берут всё ту же самую libpng или другие подобные решения. Там есть (или была) ровно та же дыра, поздравляю)
Автор, а статистика пострадавших пользователей есть? Или также просто копипастить будете?
@VZ, we have had no reports of active customer exploitation or abuse of these newly reported issues.
@VZ, у ведра столько дырок, что статистку по пострадавшим уже давно никто не ведет, енпонятно от ккой конкретно пострадал пользователь Это же в IOS каждая найденная дырка повод для новости)
@triller, главное, что когда кук забавляется с вашими дырками, вы себя пострадавшими не считаете
Разве ведерко сложно рутануть шнурком?
@bassist, не у каждого производителя рут права можно получить
@triller, слишком много у тебя познаний про андроид, походу ты с ксяоми гоняешь, надрачивая перед сном на яблоко
@VZ, по себе людей не судят)) А я вообще разносторонне развитый человек, про андроид тоже не мало знаю, поэтому себе и не беру
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как в macOS включить подсказку для пароля разблокировки
Как в YouTube на iPhone выбрать 4K разрешение для видео
В iOS 10 пропала калибровка компаса. Как это исправить?
Как отключить Siri и Голосовой ввод на заблокированном экране?
Как сделать уведомления на iPhone более заметными
Мышь с колесом прокрутки в macOS Sierra стала работать медленно, пропала плавная прокрутка
Что делать, если дисплей iPhone работает некорректно
Как друзья узнают мое местоположение через iPhone