PNG-plaatje kan recente Androids hacken

Dit hacken via een malafide PNG-afbeelding kan gebeuren door zo'n plaatje te bekijken op een websites, maar ook door zo'n PNG te ontvangen in een mail of sms-bericht. Google meldt dit in zijn Android Security Bulletin voor deze maand, waarin het een totaal van 42 kwetsbaarheden verhelpt. Maar liefst 11 daarvan krijgen de waardering 'kritiek' mee, waaronder dus ook het PNG-beveiligingsgat.

Patch-level van februari

Android-toestellen die nog niet op security patch level 2019-02-05 zitten, zijn kwetsbaar. Eindgebruikers kunnen dat controleren in de app Instellingen door daar onderaan te kiezen voor Systeem -> Geavanceerd -> Systeemupdate. "Als je  'Geavanceerd' niet ziet, tik je op 'Over de telefoon' ", merkt Google nog op in zijn supportdocument over controleren (en updaten) van Android-versies.

De mogelijkheid om via malafide PNG-afbeeldingen Android-toestellen te hacken, is de ernstigste van alle gaten die Google nu dicht met zijn februari-update. Android-versies 7, 8 en 9 (respectievelijk Nougat, Oreo en Pie) zijn kwetsbaar, inclusief tussenliggende subversies. De onderliggende kwetsbaarheid zit in Framework, wat dienst doet voor de weergave van grafische bestanden. Google stelt nog gerust dat het geen meldingen heeft ontvangen dat deze gaten in de praktijk worden misbruikt.

Android-fragmentatie

De vraag is natuurlijk of daarmee valt uit te sluiten dat de kwetsbaarheden van de februari-update zijn benut door aanvallers. Bovendien zijn er nog veel oudere Android-versies in gebruik, van vóór 7.0 (Oreo) die in augustus 2016 is uitgekomen. Die achterlopende Android-apparaten hoeven niet te rekenen op updates voor hun mobiele besturingssysteem. Dit kan overigens ook gelden voor nieuwere toestellen, met meer recente Android-versies. Toestelmakers geven namelijk niet altijd de Android-patches van Google door, of doen dat pas na verloop van tijd. Dit geeft kwaadwillenden tijd en gelegenheid.