sábado, 6 de noviembre de 2010

Más de 350 fallos en el Kernel de Android

Recientemente ha sido publicado el informe "Coverity Scan 2010 Open Source Integrity Report"; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este informe se realiza sobre programas de código abierto y este año le ha tocado el turno al kernel de Android.

Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal "HTC Droid Incredible", el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.

Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio. Para detectar los errores se ha empleado un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.

Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso al GPS sin autenticación, entre otros posibles impactos.

Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.

Los componentes donde se han encontrado los fallos han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallos críticos se encuentran el las especificaciones de Android.

Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de estos y serán publicadas cuando estén disponibles los parches. Alguno de estos fallos puede que afecte a versiones inferiores de Android.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Coverity Release:
http://www.coverity.com/html/press/coverity-scan-2010-report-reveals-high-risk-software-flaws-in-android.html

No hay comentarios:

Publicar un comentario en la entrada