Vulnerabilidad permite hackear un smartphone con Android usando sólo una imagen PNG

Google afirma que esta vulnerabilidad aún no ha sido explotada en escenarios reales

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética recomiendan a los usuarios de smartphones con sistema operativo Android ser precavidos al abrir o descargar imágenes en su dispositivo pues, por extraño que parezca, esto podría comprometer la seguridad del usuario.

Según recientes reportes, con sólo ver una imagen aparentemente inofensiva un smartphone con Android podría ser hackeado, esto debido a tres vulnerabilidades críticas descubiertas recientemente. Los errores están presentes en millones de dispositivos que funcionan con dicho sistema operativo, desde las versiones Android Nougat 7.0 hasta el más reciente Android 9.0 Pie.   

Las vulnerabilidades, rastreadas como CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988, fueron parcheadas por Android Open Source Project como parte de sus actualizaciones de seguridad para el mes de febrero, reportan especialistas en seguridad en redes.  

El problema es que no todos los fabricantes de smartphones lanzan sus actualizaciones de seguridad de forma mensual, por lo que la mitigación de estas vulnerabilidades no estará disponible para todos los equipos Android a la vez.

El equipo de seguridad en redes de Google no ha revelado mayores detalles técnicos sobre la explotación de estas vulnerabilidades, aunque las actualizaciones disponibles para el sistema operativo mencionan la reparación de algunos errores como “desbordamiento de búfer”, “errores de SkpPngCodec”, y algunas fallas más en diversos componentes que cargan imágenes formato PNG.  

Los reportes indican que una de las tres vulnerabilidades reparadas podría permitir que una imagen PNG especialmente diseñada para fines maliciosos ejecute código arbitrario en un dispositivo comprometido. De las tres vulnerabilidades encontradas, esta es la más severa, acorde a los equipos de seguridad de Google.

Un actor malicioso podría explotar esta vulnerabilidad si consigue que los usuarios abran o descarguen el archivo PNG malicioso en sus dispositivos (es imposible que el usuario detecte la carga útil en esta imagen a simple vista). La imagen puede llegar al usuario a través de algún servicio de mensajería, como un archivo adjunto en un email, o puede ser descargada de cualquier página web.    

En las actualizaciones de febrero, Google también incluyó correcciones para 42 vulnerabilidades en el SO Android en total; 11 consideradas críticas, 30 de alto impacto y una de gravedad media. La empresa destaca que no existe evidencia alguna de que alguna de estas vulnerabilidades haya sido explotada en un escenario real.

Finalmente, la empresa afirma que ya había notificado a sus socios que trabajan con Android sobre las vulnerabilidades semanas antes de la publicación de estos informes, además agregó que el código fuente de estas correcciones será publicado en breve en el repositorio de Android Open Source Project.