当前位置:安全行业动态 → 正文

Android“奥利奥”自适应图标被曝漏洞 数千部手机无限重启

责任编辑:editor004 |来源:企业网D1Net  2017-11-03 11:31:49 本文摘自:E安全

安卓“奥利奥”操作系统(Android Oreo)引入的“自适应图标”(Adaptive Icons)功能被曝漏洞,致使数千部手机陷入无限重启模式(Boot Loop),用户被迫恢复出厂设置,导致数据丢失。

Android版“滑动的脸书”(Swipe for Facebook,一款Facebook套壳浏览器工具应用)的开发人员Jcbsera发现该漏洞,所幸漏洞不影响默认状态的Android Oreo((8.0)

“自适应图标”应用程序受影响

这个漏洞只对使用自适应图标功能的应用程序构成影响。Android Oreo引入的这项新功能会根据用户的设备修改图标的形状和大小,或修改用户在设备上使用的启动器类型。

自适应图标的样式被定义为本地XML文件。当Jcbsera使用与XML文件(ic_launcher_main.png and ic_launcher_main.xml)相同的名称对自适应图标的前景图像重命名时,该漏洞便会暴露出来。

相同名称的两个文件循环引用

Jcbsera开发应用程序时并未发现这个漏洞,因为他只在Android Studio 应用程序提供的Android模拟器中测试自己开发的新版应用程序。

然而,当Jcbsera将更新推送给用户后,用户在Play Store应用商店页面的抱怨和差评如潮时,他才发现都是该漏洞惹的祸。Jcbsera向谷歌提交漏洞报告时写到,名称相同的两个文件引起循环引用,而Android Studio并未注意该问题。这个问题导致SystemUI和手机的启动器(Pixel Launcher和其它支持自适应图标的启动器)不断崩溃,用户因此无法进入启动器,更不用说进入“设置”卸载这款应用程序,最终导致手机无限重启。

一旦安装、就无限重启

Jcbsera表示,触发漏洞无需用户打开这款应用程序,只要安装到设备上就会进入无限重启模式。

Jcbsera补充称,唯一的解决方案是通过adb(Android Debug Bridge)卸载这款应用(幸运的话,会在手机重启并启用USB调试之前及时进入adb),但最终还是会收到出厂恢复提示,数千名用户因此受到干扰。

与此同时,这名开发人员发布的新版Swipe for Facebook不会导致Android Oreo设备崩溃。

Android开发人员向Jcbsera表示,他们计划在即将发布的8.1版本中修复该漏洞。

谷歌发布Android Oreo已有数日,用户还发现谷歌新移动操作系统中存在漏洞,可绕过WiFi连接,并持续使用移动数据联网,导致用户遭受经济损失。

关键字:Android自适应

本文摘自:E安全

x Android“奥利奥”自适应图标被曝漏洞 数千部手机无限重启 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

Android“奥利奥”自适应图标被曝漏洞 数千部手机无限重启

责任编辑:editor004 |来源:企业网D1Net  2017-11-03 11:31:49 本文摘自:E安全

安卓“奥利奥”操作系统(Android Oreo)引入的“自适应图标”(Adaptive Icons)功能被曝漏洞,致使数千部手机陷入无限重启模式(Boot Loop),用户被迫恢复出厂设置,导致数据丢失。

Android版“滑动的脸书”(Swipe for Facebook,一款Facebook套壳浏览器工具应用)的开发人员Jcbsera发现该漏洞,所幸漏洞不影响默认状态的Android Oreo((8.0)

“自适应图标”应用程序受影响

这个漏洞只对使用自适应图标功能的应用程序构成影响。Android Oreo引入的这项新功能会根据用户的设备修改图标的形状和大小,或修改用户在设备上使用的启动器类型。

自适应图标的样式被定义为本地XML文件。当Jcbsera使用与XML文件(ic_launcher_main.png and ic_launcher_main.xml)相同的名称对自适应图标的前景图像重命名时,该漏洞便会暴露出来。

相同名称的两个文件循环引用

Jcbsera开发应用程序时并未发现这个漏洞,因为他只在Android Studio 应用程序提供的Android模拟器中测试自己开发的新版应用程序。

然而,当Jcbsera将更新推送给用户后,用户在Play Store应用商店页面的抱怨和差评如潮时,他才发现都是该漏洞惹的祸。Jcbsera向谷歌提交漏洞报告时写到,名称相同的两个文件引起循环引用,而Android Studio并未注意该问题。这个问题导致SystemUI和手机的启动器(Pixel Launcher和其它支持自适应图标的启动器)不断崩溃,用户因此无法进入启动器,更不用说进入“设置”卸载这款应用程序,最终导致手机无限重启。

一旦安装、就无限重启

Jcbsera表示,触发漏洞无需用户打开这款应用程序,只要安装到设备上就会进入无限重启模式。

Jcbsera补充称,唯一的解决方案是通过adb(Android Debug Bridge)卸载这款应用(幸运的话,会在手机重启并启用USB调试之前及时进入adb),但最终还是会收到出厂恢复提示,数千名用户因此受到干扰。

与此同时,这名开发人员发布的新版Swipe for Facebook不会导致Android Oreo设备崩溃。

Android开发人员向Jcbsera表示,他们计划在即将发布的8.1版本中修复该漏洞。

谷歌发布Android Oreo已有数日,用户还发现谷歌新移动操作系统中存在漏洞,可绕过WiFi连接,并持续使用移动数据联网,导致用户遭受经济损失。

关键字:Android自适应

本文摘自:E安全

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^