El oCERT (Open Source Computer Emergency Response Team) acaba de alertarnos de dos vulnerabilidades de Android a través de sus completos avisos que de momento sólo afectan a la versión 1.5 Cupcake, la más popular por el momento. Ambas afectan a su conexión a la red mediante una denegación de servicio.
La primera afecta a la conectividad del dispositivo al recibir un SMS de contenido malintencionado y que causaría una ArrayIndexOutOfBoundsException en la aplicación de llamadas (android.com.phone). La aplicación reiniciará el móvil sin avisar causando esta pérdida de conexión. Por eso se considera una vulnerabilidad de denegación de servicio remota.
La segunda afecta a la API de la máquina virtual Dalvik pues existe una función que reinicia el móvil inmediatamente. Una aplicación descargada podría ejecutar esta función y provocar así, también, la pérdida de conexión.
Los detalles técnicos de ambos problemas los podéis encontrar en los siguientes enlaces:
http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=46e23fe762d2143d60589ab6d39c4b47c2c754d1
http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=cf4550c3198d6b3d92cdc52707fe70d7cc0caa9f
Actualización (15 octubre 2009): Google ya ha arreglado los bugs que seguramente vendrán en la próxima actualización de cupcake.
Bueno, mientras sea una denegación de servicio aún vamos bien, que casi todos tenemos información sensible en nuestro android. Un exploit que permitiera ejecutar código sería mucho peor…
Aún así, para eso es software libre, para encontrar los fallos antes.
Por cierto, ¿alguien sabe cuando va a empezar Vodafone a distribuir la 1.6?
Me gustaMe gusta