Jälleen uusi Android-haavoittuvuus julki

Kerroimme aiemmin tällä viikolla tietoturvayhtiö Zimperiumin löytämästä haavoittuvuudesta, jonka toiminta perustui Androidin komponenttiin nimeltä Stagefright. Nyt muutamaa päivää myöhemmin myös Trend Micro on päättänyt tuoda esiin löytämänsä bugin/haavoittuvuuden. Tällä kertaa pinnalle noussut haavoittuvuus on Zimperiumin löydökseen nähden melko vaaraton.

Tälläkin kertaa puhelinta kiusataan haitallisella videotiedostolla, joka tässä tapauksessa on .MKV-muodossa. Kun Androidin mediaserver-komponentti yrittää avata muunneltua videota, se kaatuu ja joutuu uudelleenkäynnistyskierteeseen vaikuttaen myös koko puhelimen toimintaan. Puhelut, tekstiviestit ynnä muut ilmoitukset eivät saavu enää puhelimeen ja käyttöliittymä joko hidastuu tai jähmettyy kokonaan. Tilanne on kuitenkin korjattavissa yksinkertaisesti uudelleenkäynnistyksellä.

Haavoittuvuutta voidaan käyttää myös upottamalla .MKV-tiedosto nettisivulle, jolloin se toimii täysin vastaavasti kuin paikallisesti tallennettuna tai applikaatioon piilotettuna.

Aukko on löydetty jo toukokuun 15. päivänä ja Google on 20. toukokuuta kertonut ottaneensa vastaan raportin aiheesta ja samassa yhteydessä luokitellut löydetyn bugin vaarallisuudeltaan vähäiseksi. Haavoittuvuus koskee Android-laitteita versionumerosta 4.3:sta ylöspäin.

Blog.trendmicro.com, Trend Micro Discovers Vulnerability That Renders Android Devices Silent