12 de enero de 2015

ANDROID. Vulnerabilidad provoca que los dispositivos del SO. de Google fallen

Expertos en seguridad han descubierto un problema que afecta a los archivos manifest que utilizan las aplicaciones permitiendo realizar una especie de ataque de denegación de servicio al dispositivo Android, provocando que la memoria de este se sobrecargue y provoque el reinicio del terminal.
El archivo problemático es un fichero XML y se encuentra en un formato concreto con una estructura bien definida. Algunas aplicaciones poseen referencias a cadenas de texto muy grandes, siendo una necesidad para el sistema operativo conseguir resolver estas haciendo uso del Parser de paquetes (también conocido como el intérprete). El problema llega cuando el fichero XML citado con anterioridad y estas referencias a cadenas de texto grandes se multiplican y aparecen más de lo habitual.
Esto provoca un consumo de memoria adicional que puede estar disponible o no, siendo el segundo de los casos un problema ya que en este caso el intérprete fallaría y provocaría por lo tanto el reinicio del terminal.
Algunos expertos en seguridad se han puesto manos a la obra para lograr acotar en la medida de lo posible el problema y ya han confirmado que todas las versiones disponibles en la actualidad de Android Lollipop y KitKat están afectadas por el problema.
El reinicio del dispositivo Android no resuelve el problema
  • Sin embargo, aunque pueda parecer que tras el reinicio forzado y provocado por este fallo todo va a volver a la normalidad esto no es así y el bucle infinito de reinicios será algo habitual en el dispositivo. La única solución a este fallo es utilizar el modo ADB que poseen los dispositivos. Este se puede “recuperar” realizando  un borrado de la caché o restableciendo el dispositivo a los valores de fábrica.
  • El peligro para el usuario en lo referido a fuga de datos es inexistente, aunque sí se podría producir una pérdida de estos si no se posee una copia de seguridad reciente. El error ya ha sido reportado a Google pero aún no se ha obtenido ningún tipo de respuesta.
Fuente: Softpedia