Luka w systemie została publicznie opisana w tym miesiącu przez badacza Ibrahima Balica, który odniósł problem do sfery naruszenia pamięci. Według autora błąd może zostać wywołany jeżeli pole nazwy aplikacji appname jest dłuższe niż 387000 znaków. Dodatkowo sytuacja, w której autor umieścił na serwerach Google Play testową, zmodyfikowaną APK spowodowała tymczasową odmowę usługi (DOS).
Problem dotyczy urządzeń z systemem Android OS w wersji 4.0 lub wyższej. Analitycy z firmy Trend Micro twierdzą, że awaria dotyczy w pierwszej kolejności usługi WindowManager, ale również może powodować problemy z funkcjonowaniem PackageManager oraz ActivityManager.
„W pliku AndroidManifest.xml nazwa aplikacji może zostać ustawiona w atrybucie ‘android:label’ i może zostać zapisana jako surowy string. Zazwyczaj aplikacje posiadające zbyt długą nazwę w pliku AndroidManifest.xml nie mogą zostać zainstalowane ze względu na limit wielkości bufora transakcji z Android Binder. Jednakże wykorzystując interfejs ADB (Android Debug Bridge), który jest często używany przez drugorzędnych dostawców aplikacji, pakiet może zostać zainstalowany co będzie skutkowało natychmiastową awarią menedżera pakietów” – pisze na swoim blogu Veo Zhang, analityk firmy Trend Micro.
Źródło: www.securityweek.com
