Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N6961/android_adaptive_icons.jpg

Végtelen újraindításba és formázásba kényszerített több ezer készüléket az Android 8.0 Oreo újítása

2017.11.01. 17.31
Még márciusban mi is beszámoltunk az Android 8.0 Oreo Adaptive Icons névre keresztelt fejlesztéséről, miszerint különválasztották az ikonok előterét és hátterét, így az ezt támogató appok ikonjai képesek alkalmazkodni az egységesen stilizált ikontémákhoz – például automatikusan átalakulnak kör vagy négyzet alakúvá.

A Swipe for Facebook alkalmazás fejlesztője élt is a lehetőséggel, és létrehozta az app ikonjának „adaptív” változatát. Azonnal bele is futott egy súlyos sebezhetőségbe, ugyanis merészelte az ikon PNG fájlját ic_launcher_main.png néven megadni, ami a kiterjesztést leszámítva egyezik az ikont leíró ic_launcher_main.xml fájl nevével.

Az Android Studio Oreo emulátorában ebből nem is volt semmi probléma, viszont miután több ezren letöltötték a frissített appot, elkezdtek özönleni a jelentések, miszerint a készülékek az alkalmazás elindítása után végtelen újraindítási ciklusba keveredtek, és csak a gyári állapotra való visszaállítás segített – ez persze együtt járt a készülékek lokálisan tárolt adatainak végleges megsemmisítésével. Mint kiderült, az egészet a fájlnevek egyezése okozta, a rendszer ezt nem igazán tolerálja.

A sérülékenységből a zsarolóvírusok is profitálhatnak



Esetenként a rendszer ADB fejlesztői szolgáltatása is segített, már ha engedélyezve volt a készüléken és a felhasználó el tudta végezni a műveletet, mielőtt a készülék ismét újraindult volna. Ez egyben azt is jelenti, hogy a sebezhetőség kihasználásával például a zsarolóvírusok ideiglenesen elvehetik a készülék feletti irányítást a fájlok titkosításának idejére.

Forrás: Bleeping Computer
Összes hozzászólás