В ОС Android виявлена критична уразливість, що дозволяє зловмисникам отримати доступ до пристроїв користувачів. Уразливість (CVE-2019-2107) зачіпає версії Android від 7.0 до 9.0 (Nougat, Oreo і Pie) і дозволяє віддалено включити код без додаткових прав. Експлоїт для уразливості був опублікований на GitHub дослідником Марціном Козловські (Marcin Kozlowski).
Як пояснив Козловські, зловмисник може скомпрометувати пристрій за допомогою шкідливого відеофайлу, відправивши його, наприклад, по електронній пошті (додаток Gmail здатний завантажувати відео за допомогою стандартного відеоплеєра Android). У разі відкриття файлу користувачем, зловмисник може отримати доступ до пристрою жертви.
Успішна експлуатація вразливості можлива за однієї умови – користувач повинен буде завантажити шкідливе відео тільки в незмінному вигляді. Атака, імовірно, також не буде ефективною при відправці шкідливого файлу через сервіси, які перекодують відео, наприклад, YouTube, WhatsApp тощо.
В даний час невідомо, скільки саме пристроїв піддається ризику. За даними Google, в травні 2019 року налічувалося більше 2,5 млрд активних телефонів на базі Android. З них майже 58% (близько 1,5 млрд) працюють під управлінням вразливих версій ОС.
Компанія Google вже випустила оновлення, що виправляє вразливість.
