Компания Core Security, специализирующаяся на разработке ПО для тестов на проникновение, с обеспокоенностью известила о том, что в инструментарии разработки ПО для программной платформы Google Android используются некоторые устаревшие и уязвимые библиотеки для обработки изображений.
В информационном выпуске от 4 марта 2008 г. Core Security привела примеры нескольких вариантов переполнений динамической памяти и переполнений при операциях с целыми числами, проявляющихся в программном стеке устанавливаемой на мобильных устройствах программной платформы Google Android, которая включает ОС, ПО промежуточного слоя и ключевые приложения.
В итоге Core Security перечислила восемь различных уязвимостей, обнаруженных в SDK платформы Android, которая сейчас находится в стадии бета-тестирования.
В блоге разработчиков платформы Android их адвокат Джейсон Чен подтвердил, что в последнее недавнее обновление ПО — Android m5-rc15 — внесены связанные с безопасностью исправления, касающиеся поддержки файлов изображений.
Несмотря на то что Android находится в стадии разработки и нет еще официального релиза этой платформы, компания Core Security напомнила, что некоторые производители чипов для мобильных устройств уже выпустили прототипы телефонов, построенных на ранних релизах Android.
Согласно данным Core Security, найдено несколько уязвимостей в библиотеках ядра платформы Android, которые обеспечивают обработку графического контента, представленного в наиболее популярных графических форматах — PNG, GIF и BMP. В то время как некоторые из уязвимостей унаследованы от применения в платформе устаревших и уязвимых библиотек с открытым кодом, другие привнесены собственным кодом платформы Android, который использует эти библиотеки или реализует новые функциональности платформы.
Чтобы показать, что уязвимости могут быть задействованы для получения полного контроля над мобильным устройством, использующим Android, компания Core Security опубликовала подтверждающие коды. Эти коды были успешно применены в эмуляторе, введенном в SDK, и доказали возможность их исполнения в стеке платформы (поверх архитектуры ARM) через бинарный эксплоит.
Core Security утверждает, что Android SDK версии m3-rc37a, а также более ранние версии уязвимы со стороны ошибок в компонентах, обрабатывающих изображения форматов GIF, PNG and BMP, а Android SDK m5-rc14 уязвим из-за ошибок в компонентах, обрабатывающих файл BMP.
В сводке в разделе “Заявления разработчика” объединение Open Handset Alliance, за спиной которого стоит компания Google, сообщает, что прежде, чем платформа будет готова для использования, в нее будет введено много изменений и обновлений. Эти изменения подразумевают в том числе и анализ обеспечения полной безопасности.