¿Usas un dispositivo Android?
¡Tener cuidado! Debe tener más precaución al abrir un archivo de imagen en su teléfono inteligente, descargado en cualquier lugar de Internet o recibido a través de aplicaciones de mensajería o correo electrónico.
Sí, solo ver una imagen de aspecto inocuo podría piratear su teléfono inteligente Android, gracias a tres vulnerabilidades críticas descubiertas recientemente que afectan a millones de dispositivos que ejecutan versiones recientes del sistema operativo móvil de Google, que van desde Android 7.0 Nougat hasta su actual Android 9.0 Pie.
Las vulnerabilidades, identificadas como CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988, han sido parcheadas en Android Open Source Project (AOSP) por Google como parte de sus actualizaciones de seguridad de Android de febrero.
Sin embargo, dado que no todos los fabricantes de teléfonos móviles implementan parches de seguridad todos los meses, es difícil determinar si su dispositivo Android recibirá estos parches de seguridad antes.
Aunque los ingenieros de Google aún no han revelado ningún detalle técnico que explique las vulnerabilidades, las actualizaciones mencionan la corrección de «defectos de desbordamiento del búfer», «errores en SkPngCodec» y errores en algunos componentes que representan imágenes PNG.
Según el aviso, una de las tres vulnerabilidades, que Google consideró la más grave, podría permitir que un archivo de imagen de Portable Network Graphics (.PNG) creado con fines malintencionados ejecute código arbitrario en los dispositivos Android vulnerables.
Como dice Google, «el más grave de estos problemas es una vulnerabilidad de seguridad crítica en Framework que podría permitir que un atacante remoto use un archivo PNG especialmente diseñado para ejecutar código arbitrario dentro del contexto de un proceso privilegiado».
Un atacante remoto puede explotar esta vulnerabilidad simplemente engañando a los usuarios para que abran un archivo de imagen PNG creado con fines maliciosos (que es imposible de detectar a simple vista) en sus dispositivos Android enviado a través de un servicio de mensajes móviles o una aplicación de correo electrónico.
Incluyendo estas tres fallas, Google ha parcheado un total de 42 vulnerabilidades de seguridad en su sistema operativo móvil, 11 de las cuales están clasificadas como críticas, 30 altas y una de gravedad moderada.
El gigante de la tecnología enfatizó que no tiene informes de explotación activa o abuso salvaje de ninguna de las vulnerabilidades enumeradas en su boletín de seguridad de febrero.
Google dijo que notificó a sus socios de Android sobre todas las vulnerabilidades un mes antes de la publicación y agregó que «los parches del código fuente para estos problemas se lanzarán en el repositorio del Proyecto de código abierto de Android (AOSP) en las próximas 48 horas».