Карпарацыя Google выпусціла выпраўленне для мабільнай платформы Android 1.5, якое зачыняе дзве ўразлівасці ў сістэме бяспекі, якія дазвалялі праводзіць напады адмовы ў абслугоўванні, паведамляе ComputerWorld.

Праблемы былі выяўленыя даследнікамі каманды Open Source Computer Emergency Response Team (oCERT).

Скарыстаўшыся адной з «дзюр», хакеры маглі адправіць па WAP-пратаколу СМС, прадстаўленае як Push-паведамленне. Шкоднасны код гэтага СМС мог прывесці да памылкі выключэння ArrayIndexOutOfBoundsException (адрасаванне элементаў за межамі масіва) у Java-прыкладанні android.com.phone. Аварыйна якое завяршылася прыкладанне аўтаматычна перазапускалася, адначасна прыводзячы да часавага адключэння тэлефона ад мабільнай сеткі і пропуску ўваходных званкоў. Тым карыстачам, у якіх гэтым-карта патрабавала ўводу PIN, прыходзілася набіраць яго зноўку. Пры доўгім паўторы памылкі мог адбыцца адмову ў абслугоўванні.

Звычайна Push-паведамленні выкарыстоўваюцца аператарамі або сэрвіснымі правайдэрамі для перасылання рынгтонаў, шпалер і іншага кантэнту.

Падобная ўразлівасць была выяўленая сёлета ў некаторых тэлефонах Sony Ericsson: шкоднаснымі Push-паведамленнямі хакеры маглі дыстанцыйна перазагружаць апараты.

Другая праблема дакраналася ўразлівасці ў API рэгістр-арыентаванай віртуальнай Java-машыны Dalvik, прысутнай на любым Android-прыладзе. Зламыснікі маглі скарыстацца дэфектам бяспекі, каб прымусіць сістэмны працэс тэлефона стала перазагружацца, выклікаючы ў выніку адмова ў абслугоўванні.

рэкамендуем прачытаць таксама

• Google акажа падтрымку праекту oCERT
• Апублікаваны зыходны код платформы Android 2.0 «Eclair»
• Sony Ericsson будзе выпускаць камунікатары на базе Android 2.0
• Апублікаваны зыходны код Android 2.0 “Eclair”
• Уладальнікі Android Dev Phone пазбаўленыя доступу да платных прыкладанняў

Каментаванне не дазволенае.