Si estas usando un smartphone Android ten mucho cuidado al abrir un archivo de imagen en tu dispositivo, ya sea porque lo hayas descargado desde cualquier lugar de Internet o cuando lo recibes a través de un cliente de mensajería instantanea o una aplicación de correo electrónico.
Es que el solo hecho de ver una imagen de aspecto inocuo podría hackear tu smartphone Android, gracias a tres vulnerabilidades críticas recién descubiertas que afectan a millones de dispositivos que ejecutan versiones recientes del sistema operativo móvil de Google, desde Android Nougat 7.0 a la actual Android 9.0 Pie.
Las vulnerabilidades, identificadas como CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988, que ya han sido parcheadas en el Proyecto de Código Abierto de Android (AOSP) de Google como parte de sus actualizaciones de seguridad de Android del mes de febrero.
Sin embargo, dado que no todos los fabricantes de teléfonos móviles implementan parches de seguridad cada mes, es difícil determinar si tu dispositivo Android obtendría estos parches de seguridad en cualquier momento o nunca podrías recibirlos.
Aunque los ingenieros de Google aún no han revelado ningún detalle técnico que explique las vulnerabilidades, las notas de las actualizaciones mencionan la reparación de “fallas de desbordamiento del búfer de la pila“, “errores en SkPngCodec” y errores en algunos componentes que representan imágenes PNG.
De acuerdo con el aviso, una de las tres vulnerabilidades, que Google considera la más grave, podría permitir que un archivo de imagen de Gráficos de red portátil (.PNG) que ha sido creado con fines malintencionados ejecute código arbitrario en los smartphones Android vulnerables.
Como ha dicho Google en el último boletín de actualización de seguridad: “el más grave de estos problemas es una vulnerabilidad de seguridad crítica en el Framework que podría permitir que un atacante remoto que usa un archivo PNG especialmente creado para ellos ejecute código arbitrario en el contexto de un proceso privilegiado“.
Un atacante remoto puede aprovechar esta vulnerabilidad simplemente engañando a los usuarios para que abran un archivo de imagen PNG creado con fines malintencionados (que es imposible de detectar a simple vista) en sus dispositivos Android enviados a través de un servicio de mensajería instantánea o una aplicación de correo electrónico.
Incluyendo estos tres defectos, Google ha solucionado un total de 42 otras vulnerabilidades de seguridad en su sistema operativo móvil, 11 de los cuales están calificadas como críticas, 30 de las cuales son de alto riesgo y una es de gravedad moderada.
El gigante de Mountain View destacó que no tienen informes de explotación activa de cualquiera de las vulnerabilidades enumeradas en su boletín de seguridad de febrero.
Google dijo que notificó a sus socios de Android todas las vulnerabilidades un mes antes de la publicación y agregó que “los parches de código fuente para estos problemas se lanzarán al repositorio de Android Open Source Project (AOSP) en las próximas 48 horas“.