Fallo grave de seguridad en Android: una simple imagen PNG puede hackearte
Descubren una vulnerabilidad que permite a un atacante meter un exploit en una imagen PNG.
El año pasado vimos como recibir un mensaje con un simple carácter hindú podía bloquear las apps de mensajería de iOS y obligar a reiniciar el móvil o tablet. Y también descubrimos el círculo negro de WhatsApp, una imagen recibida por WhatsApp que al abrirla bloqueaba el terminal entero. Pero estos dos casos eran en sí fallos del sistema que no implicaban más que un reinicio del terminal. Lo que Google ha descubierto en las versiones más recientes de Android es más grave.
Hackeado por abrir una imagen PNG
En el boletín de la actualización de seguridad Android para febrero, Google ha anunciado que han descubierto una vulnerabilidad en su sistema Android, dentro del marco de trabajo del sistema operativo. Una vulnerabilidad que propicia que alguien pueda hackearnos el móvil con sólo usar una imagen PNG. No se trata de instalar ninguna APK, ninguna app, sino que bastaría una foto en formato .png que, al recibirla y abrirla para verla, activaría el exploit que llevaría dentro y permitiría a un atacante remoto ejecutar un código arbitrario que le diese un acceso privilegiado al terminal. Solo ver una imagen tumbaría la seguridad de nuestro móvil Android.
La vulnerabilidad, que afecta a todas las versiones del SO entre Android 7.0 y Android 9.0, es uno de los tres bugs que Google ha encontrado dentro del framework de Android, y de lejos el fallo más grave en la actualización de febrero. Las otras dos son fallos de ejecución remota de código que se centran en la librería Android, archivos del sistema y en componentes Nvidia. Por razones de seguridad, Google no ha revelado los detalles técnicos de cómo funcionaría el exploit integrado en un .PNG, pero tampoco ha recibido de momento informes ni avisos de que haya alguien explotando esa vulnerabilidad en su provecho.
Actualizar en cuanto esté disponible
De momento, Google trabaja en solucionar el fallo, por lo que este sigue ahí. Todavía no hay un parche que instalar -aunque quizás los móviles Pixel de Google ya lo tengan-, pero en cuanto lo anuncien os lo haremos saber, ya que será un update obligatorio por razones de seguridad. En caso de tener un smartphone con una de las versiones Android afectadas pero sin el parche de seguridad, lo mejor es contar con un antivirus actualizado. Eso y estar alerta ante el contenido que recibimos, abrimos y de quién nos lo envía.