Tuttavia, i problemi non sembrano essere terminati. Una delle vulnerabilità risolte da Google potrebbe consentire a un hacker di seminare il malware semplicemente inviando una foto in formato PNG. Non appena gli utenti aprono l’immagine, si attiva l’exploit e consente ai malintenzionati di eseguire in remoto il codice arbitrario e provocare il caos.
A descrivere il rischio è la stessa Google, che si è soffermata sulle patch di sicurezza di febbraio:
Il più grave di questi problemi è una vulnerabilità di sicurezza critica nel Framework che può consentire a un utente malintenzionato remoto di utilizzare un file PNG appositamente predisposto per eseguire il codice arbitrario all’interno del contesto di un processo privilegiato.
L’attenzione qui è su un file PNG, perché la vulnerabilità critica può essere sfruttata proprio tramite questo tipo di file, appositamente predisposto per eseguire codice arbitrario nel contesto di un processo privilegiato. L’apertura del file PNG infetto attiverà l’exploit e potrebbe aprire le porte al malware.
La vulnerabilità critica è stata individuata in tre forme (CVE-2019-1986, CVE-2019-1987 e CVE-2019-1988) e riguarda gli smartphone Android da Android 7.0 fino ad Android Pie. Google sostiene che finora non sono stati segnalati episodi dove è stato effettivamente sfruttato il bug.