駭客靠一張圖檔就能駭入 Android 裝置

在手機上點閱 PNG 圖片是一件稀鬆平常之事，可若是使用 Android 系統，可要當心了，這正是駭客攻擊 Android 裝置的最新手法。

根據 Google 最新公佈的 2019 年 2 月的 Android 安全性公告中提到，Android 的框架（Framework）出現了嚴重漏洞。駭客利用此漏洞，可在獲得授權的程序環境內透過特製的 PNG 檔案執行任何程式碼，使一張普通的 PNG 圖檔轉換成入侵裝置的傳送門。這類圖檔表面上看起來是正常照片，但是當使用者點閱打開之後，便可能觸發系統漏洞，使駭客獲得授權而遠端操控裝置。

本次漏洞影響範圍包括 Android 7.0 至最新 9.0 系統，一共發現三個漏洞，代碼分別為 CVE-2019-1986、CVE-2019-1987、CVE-2019-1988。Google 表示目前尚未收到相關駭客攻擊回報，亦未透露並未透露這些漏洞被利用的相關技術細節。不過 Google 已將修補程式釋出至 Android 開放原始碼專案（Android Open Source Project，簡稱 AOSP），但目前只有 Pixel 等 Google 品牌的裝置可直接取得 Google 的安全更新，其它品牌的 Android 手機或平板則仍得視裝置製造商或電信業者的更新時程才能取得修補，意謂著使用者仍有可能陷於此安全風險。