我知道在 Windows 上这是很有可能的。但是在 Android 上是否有可能 [...] 您可以通过单击图像来安装病毒/恶意软件/间谍软件吗？

是的，这是可能的，尽管很困难。在图像解码器漏洞方面，Windows 和 Android 之间没有根本区别。事实上，两个系统很可能使用相同的库进行解码，具有相同的漏洞。操作系统应用的精确缓解（DEP、ASLR、堆栈金丝雀等）也是类似的。

可以做到这一点的唯一方法是如果图像库中存在严重的安全漏洞。安全漏洞可能会劫持库并触发任意代码执行。在这些情况下，恶意图像本身并不是可执行文件，而是包含稍微修改的格式，这种格式并没有太大的不同导致错误，但足够相似，可以由库处理，从而触发意外行为。这类错误非常少见，一旦被发现就会迅速修复。您应该使您的软件保持最新（最好使用自动/无人值守更新），以避免长期存在易受攻击的图像库。

当有人将恶意 apk 重命名为 .jpg 或 .png 或 .mp4 时，究竟会发生什么。如果您打开图像/视频，恶意软件/间谍软件会执行吗？

如果有人重命名恶意可执行文件使其具有图像扩展名或以其他方式找到将其传递给媒体解码器的方法（例如更改 MIME 类型），您将收到一条消息，指出图像无法显示。如果不是图像，解码器将不会自动识别文件并执行它。解码器首先在文件开头检查指定文件类型的所谓魔术字节。例如，APK 和 JPEG 文件的字节是完全不同的。如果它没有看到 JPEG 字节，它甚至会拒绝尝试解析文件。