Attention, l’ouverture d’une image .PNG permettait de pirater tous les smartphones

Google vient d’identifier une quarantaine de failles de sécurité sur Android. Si ces vulnérabilités ont été corrigées, la prudence est de mise, notamment par rapport à un piratage possible à l’ouverture d’une image PNG. Les pirates y injectent alors du code malicieux.

En ce début d’année, la firme de Mountain View a édité son rapport sur la problématique de la sécurité sur Android. Le document donne notamment des indications sur les différentes vulnérabilités qui touchent les smartphones Android. Parmi les différentes failles présentées, une a suscité notre intérêt.

Google identifie un piratage à partir de l’ouverture d’une image PNG

Il s’agit d’une faille du système d’exploitation considérée comme critique. Celle-ci donne la possibilité d’exécuter du code malicieux sur les terminaux mobiles d’une manière plutôt simple : via un fichier PNG. Pourtant, la firme de Mountain View s’est montrée plutôt discrète quant à ce problème considéré pourtant comme non négligeable.

Google précise malgré tout que cette grosse vulnérabilité permet à un pirate de lancer du code arbitraire dans le contexte d’un processus privilégié sur les appareils Android, et cela grâce à une image PNG qui aurait pu être transféré par un email, un réseau social ou bien encore une application de messagerie.

Une image ouverte qui peut infecter votre smartphone Android

Bonne nouvelle toutefois, Google a rectifié le tir et corrigé les 42 failles de sécurité existantes dans le code source d’Android, dont onze failles jugées critiques. Pour ce qui concerne la faille liée aux fichiers PNG, Google ne pense pas qu’elle ait été exploitée par les pirates.

Pour éviter tout risque, la firme de Mountain View a déployé sa mise à jour le 5 février dernier afin d’apporter tous les correctifs nécessaires. Cela est d’autant plus nécessaire que le bug est facilement exploitable.

Cette faille de sécurité fait penser à ce nouveau groupe de malvertising qu’ont identifié des chercheurs et dénommé VeryMal. Ces voyous du net s’en sont pris spécifiquement aux usagers d’iPhone, en cachant des codes malveillants dans des images numériques. Pour cela, ils ont redirigé des utilisateurs de sites internet vers des domaines malveillants qu’ils contrôlaient.