Vulnerabilidad de denegación de servicio en Android

androidSe han descubierto dos vulnerabilidades que pueden provocar denegación de servicio en móviles con Android.

Recordar que Android es un sistema operativo para móviles basado en el kernel de Linux que depende de la versión 2.6 y que se utiliza como base del sistema, como base para la seguridad, la gestión de memoria, la gestión de procesos, el stack de red, y el modelo de drivers. El kernel también actúa como una capa de abstracción entre el hardware y el resto del stack de software.

Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance. La presentación de la plataforma Android se realizó el 5 de noviembre de 2007 junto con la fundación Open Handset Alliance, un consorcio de 48 compañías de hardware, software y telecomunicaciones comprometidas a la promoción de estándares abiertos para dispositivos móviles. Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones porque permite su comercialización de manera más simple.

Arquitectura android

Arquitectura android

El primer error se produce en el tratamiento de los SMS recibidos por Push WAP. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de un mensaje cuyo contenido de wspData no termine en “0″. Cuando se recibe este mensaje mal formado se provoca una lectura fuera de límites que causa una excepción ArrayIndexOutOfBoundsException en “android.com.phone”. Este error al no ser capturado provoca que el terminal se reinicie. Si el terminal tiene activado la petición de PIN, se quedará esperando a recibirlo.

El segundo error está causado por una serie de problemas descubiertos en Dalvik, la máquina virtual de Android. A causa de estos errores una aplicación podría provocar un error en la API y causar el reinicio de los procesos del sistema.

* Versiones afectadas (Malformación SMS DoS): Todas las versiones 1.5 CRBxx de Android (donde xx son números)
* Versiones afectadas (Dalvik API DoS): Todas las versiones <= 1.5

* Versiones corregidas (Malformación SMS DoS): Versiones 1.5 CBDxx, CRCxx y COCxx de Android (donde xx son números).
* Versiones corregidas (Dalvik API DoS): Donut DRC79

Recordar que hace poco se publicaba un vulnerabilidad en iPhone que permitía tambien hacerse con el control de la cámara y el micrófono tambien enviando un SMS malformado.

(Más información HISPASEC, oCert)

  • Meneame
  • Digg
  • BarraPunto
  • Bitacoras.com
  • Twitter
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • DZone
  • Reddit
  • Technorati
  • Slashdot
  • MySpace
  • BlinkList
  • email
  • Netvibes
  • Wikio

Entradas relacionadas:

  1. Problema de seguridad en Android
  2. Android 2.0 “Éclair”, el pastelito ya está en la puerta de Google
  3. Android a la caza de iPhone OS
  4. Google presenta Android NDK 1.5
  5. Nuevo Android Market para Android 1.6

Esta entrada ha sido publicada en astracanada.net. Si lo estás leyendo en otra web y no se nombra su procedencia están incumpliendo los términos de licencia.
Vía: HISPASEC
Categorias: Móviles
Tags: - - - -
13 October 2009 a las 20:12 - Comentarios
 
Bitacoras.com a las 20:58 el día 13 October 2009

Información Bitacoras.com…

Valora en Bitacoras.com: Se han descubierto dos vulnerabilidades que pueden provocar denegación de servicio en móviles con Android. Recordar que Android es un sistema operativo para móviles basado en el kernel de Linux que depende de la versión 2.6 y…..

 
Vulnerabilidad de denegación de servicio en Android (enchilame) | BlogUniverso a las 08:05 el día 14 October 2009
CAPTCHA Image
*