Исследователи Open
Source Computer Emergency Response Team (oCert) рассказали о двух новых
уязвимостях в платформе для мобильных устройств Google Android, которые могут
быть использованы для проведения DoS-атак. Обе они относятся к версии Android
1.5 и уже пропатчены Google.
Согласно
этому руководству oCert, первая уязвимость связана с тем, как Android
обрабатывает SMS-сообщения. Специальным образом составленное SMS может вызвать
появление таких условий, при которых мобильный телефон будет отсоединен от
сотовой сети. Подобное вредоносное SMS содержит сообщение WAP Push неверного
формата, вызывающее ошибку Java ArrayIndexOutOfBoundsException в приложении для
телефона (android.com.phone).
В результате этой ошибки приложение незаметно перезагружается, что приводит к
временной потере связи и разрыву соединения. Если SIM-карта абонента защищена
PIN-кодом, то ему потребуется ввести его еще раз, что лишь увеличит задержки и
усилит неудобство.
Вторая уязвимость находится в Dalvik API. Если пользователь загрузит и
запустит эксплуатирующее ее вредоносное приложение, это приведет к выполнению
некорректно функционирующей функции данного API и перезапуску системного
процесса. То же самое произойдет, если этой функцией непредумышленно
воспользуется разработчик легального ПО.
