Investigadores del oCERT, Open Source Computer Emergency Response Team, han dado a conocer dos vulnerabilidades de denegación de servicio en la plataforma móvil de Google, Android 1.5. Ambas vulnerabilidades ya han sido resueltas por el fabricante. Estos problemas podrían haber permitido que los atacantes reiniciaran remotamente dispositivos móviles.
Una de las vulnerabilidades proviene del sistema de mensajes SMS de Android, según una nota publicada por oCERT a principios de esta semana. Este fallo permite a los atacantes utilizar mensajes WAP Push deformados para desconectar un teléfono móvil de una red de telefonía. Este tipo de mensajes suele utilizarse para enviar tonos o cualquier otro contenido a los usuarios de teléfonos móviles.
Según oCERT, un mensaje WAP malicioso puede causar que el teléfono se reinicie sin conocimiento del usuario, lo que podría llevarle a una pérdida temporal de conectividad y a la caída de llamadas. En los casos en los que la tarjeta SIM del teléfono esté protegida por un PIN, los usuarios necesitarán volver a introducir el código para reestrablecer la conectividad, lo que causaría mayores retrasos. Cuando el fallo ocurre repetidamente, podría acabar resultando en una denegación de servicio, tal y como explican desde oCERT.
Una vulnerabilidad similar fue descubierta en diferentes dispositivos Sony Ericsson a principios de este año. En ellos, un mensaje WAP Push deforme podía utilizarse para reiniciar remotamente un dispositivo vulnerable.
La otra vulnerabilidad de denegación de servicio fue descubierta en la interfaz de programación para Android, en concreto, en su máquina virtual Dalvik. Además, permite a los atacantes crear una condición de denegación de servicio que provoca que los dispositivos se reinicien repetidamente sin que el usuario perciba el fallo. Estos avisos de oCERT han sido dados a conocer esta misma semana, justo después de que Google hubiera resuelto los problemas en ambos casos.
No hay comentarios:
Publicar un comentario