偶然咱們都邑收到一些風趣的臉色包GIF，然則，假如這個GIF會招致你的Android信息應用瓦解呢？
近期，趨勢科技向Google申報了一個回絕辦事破綻漏洞bug，而這類破綻漏洞bug恰好能夠做到這一點，乃至更多。這個破綻漏洞bug今朝已被CVE收錄為CVE-2017-0780，咱們經由過程測試，肯定這個破綻漏洞bug影響最新的Nexus和Pixel裝備。這個破綻漏洞bug容許入侵攻擊者不法長途發送一個黑客惡意結構的包括畸形數據的彩信，招致受害者Android信息應用瓦解。縱然裝備/體系在網安形式下重啟或啟動，應用程序也無奈從瓦解中規復。
影響
google市肆的Android信息應用裝置量高達5000萬。鑒于它也是很多Nexus和Pixel裝備的默許信息應用程序(也就是說，它不克不及卸載)，對應用它的終端用戶和企業來講，其影響確實是不言而喻的。
比方，企業能夠應用Android信息應用與客戶停止相同。用戶也能夠創立更個性化的信息，與其余應用也不會發生混雜。鑒于這款應用是被定位為跨各類Android平臺的無縫信息辦事，假定該應用程序無奈應用，能夠會對Android用戶的相同發生很大的負面影響。
別的，該應用程序的無奈拜訪能夠作為潛伏入侵攻擊的催化劑，裝備一切者無奈看到、刪除或節制。比方，這些入侵攻擊能夠必要接管裝備的SMS/MMS功效，或許發送和接管已知應用某些挪動威逼的含有黑客惡意軟件的短信。
技巧闡發
該破綻漏洞bug觸及很多未處置的Java級空指針非常(NPEs)，咱們在信息應用程序剖析GIF文件的過程當中發明了這些非常。入侵攻擊者只必要一個電話號碼，就能夠應用這個缺點將黑客惡意的GIF文件發送給潛伏的受害者。

Android新聞應用FrameSequenceDrawable來表現GIF文件。FrameSequence起首構建一個基于GIF文件的位圖工具，而后組件應用這個位圖來表現GIF。然則，咱們看到，acquireAndValidateBitmap函數挪用位圖中的辦法“acquireBitmap”(包括圖象文件的像素數據)，而不檢查它能否有用。

今朝，觸及的相干應用程序，可經由過程Janus平臺(htttp://appscan.io)停止檢查，搜刮相干字符串“FrameSequenceDrawable”能夠檢查相干應用程序。
當FrameSequence試圖從一個畸形的GIF構建位圖時，咱們看到“acquireBitmap”函數會失敗并前往一個空值。是以，假如另一個模塊/組件或變量援用這個空工具，則將觸發NPE。
難過的是，Android操縱體系和Android信息應用程序都無奈處置這個非常。這會招致信息應用在剖析MMS中畸形GIF文件時發生瓦解。

減緩步伐
用戶能夠抉擇刷機或將其規復為出廠設置。這會刪除黑客惡意GIF文件和存儲在裝備中的一切其余文件。用戶必要權衡此操縱的危險——或許先斟酌備份文件——而后刷機或規復出廠設置機。必要留意的是，卸載并從新裝置應用程序無奈辦理瓦解。
加重應用此破綻漏洞bug的入侵攻擊的另一種辦法是手動禁用Android信息的“主動下載彩信”功效。或許應用另一種辦法，應用不受影響的信息應用程序手動刪除黑客惡意MMS文件。

挪動裝備愈來愈遍及，必需采納良好的網安習氣來減緩(假如不克不及避免)能夠應用這類缺點發生的威逼。在收到未經哀求的、可疑的、未知的新聞和鏈接時，要加倍謹嚴，并按期更新裝備的操縱體系及其應用程序。
榮幸的是，最新版本的Nexus和Pixel裝備都有更同一或同等的補釘。然則，其余Android裝備的更新仍然是碎片化的，是以用戶應當接洽他們的裝備制造商以得到更新。對付企業/結構來講，IT/體系治理員應當增強補釘治理戰略，以贊助進步BYOD裝備的網安性。
咱們曾經向google表露了這一網安成績，他們在2017年9月1號宣布的Android網安通知布告(https://source.android.com/security/bulletin/2017-09-01)中更新了一個補釘，并曾經在google市肆安排。補釘會捕捉未處置的java級非常。google還增加了網安網絡日記，以監督任何應用該破綻漏洞bug的入侵攻擊。