В февральском Бюллетене по безопасности Android Google написали, что устранили уязвимость в версиях Android с 7 по 9, позволяющую запустить вредоносный код через PNG файл, то есть простую картинку.
К счастью, Google дыру нашли самостоятельно, и никто из хакеров не успел ей воспользоваться. Так что если к вам ещё не прилетел февральский патч безопасности, то аккуратней с картинками.
http://mobile-review.com/articles/2019/echo-6.shtml
