Images PNG : apparition d’une vulnérabilité critique sur Android


Une nouvelle vulnérabilité a été découverte sur les smartphones Android. Présente dans les images png, cette faille permettait à un pirate informatique d’exécuter du code malveillant sur le téléphone de ses victimes.

Une vulnérabilité provenant d’un fichier png

Selon le Bulletin de Sécurité d’Android publié le 2 février 2019, la faille du fichier png laissait un hacker prendre le contrôle du téléphone en élevant les privilèges.
En d’autres termes, pour exploiter cette vulnérabilité, il suffisait à ce hacker d’envoyer un fichier image png altéré sur le téléphone Android de sa victime. Ainsi, le pirate pouvait prendre possession du terminal mobile.

Une faille présente dans le Framework Android selon Google

Selon Google, la vulnérabilité existait principalement dans le système d’exploitation Android. En effet, cette faille se composait de trois vulnérabilités, ciblant les versions Android 7.0 Nougat et la version Android 9.0 Pie.
Cette vulnérabilité a été identifiée et compartimentée en trois failles qui sont associées à des identifiants de vulnérabilité : CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988. Pour info, les CVE correspondent à l’acronyme de Common Vulnerabilites and Exposures, qui correspondent à des standards pour l’identification de vulnérabilités informatiques.


Comment le malware a-t-il été propagé ?

L’image contenant le malware a été envoyée au travers de différents canaux de communication : par messagerie, mais aussi par les réseaux sociaux comme Facebook ou Twitter. Cette image pouvait aussi être téléchargée depuis votre moteur de recherche préféré.

Une vulnérabilité Android, exploitée par des photos PNG

Google a déjà apporté un correctif à la faille Android

Dans le cadre de ses mises à jour de sécurité, Google a apporté des correctifs à ces vulnérabilités. Nous vous conseillons donc d’assurer la mise à jour de votre smartphone, si celle-ci ne se fait pas automatiquement.
La mise à jour de sécurité proposée par Google comportait aussi des correctifs pour d’autres failles de sécurité, toutefois mineures face aux enjeux de la faille de l’image png.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest