Εμφάνιση 1-9 από 9
  1. 09-01-15, 12:54 Ελάττωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Android #1
    Το avatar του μέλους nnn
    nnn
    Το μέλος nnn είναι συνδεδεμένο Haunted by your grace you know I'm falling Administrator
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.754
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Android
    Κάθε εφαρμογή για Android αποτελείται από διάφορα αρχεία, με ένα από αυτά το AndroidManifest.xml να περιέχει σημαντικές πληροφορίες σχετικά με την εφαρμογή, τις οποίες χρειάζεται το λειτουργικό για να εκτελέσει τον κώδικα της.

    Η Trend Micro εντόπισε μια ευπάθεια στο συγκεκριμένο αρχείο, η οποία μπορεί να κάνει την συσκευή να κρασάρει με 2 διαφορετικούς τρόπους -ο πρώτος έχει σχέση με μεγάλα strings και memory allocation και ο δεύτερος περιγράφει τι ενέργειες μπορεί να εκτελέσει ένα service ή εφαρμογή.

    Η πρώτη ευπάθεια οδηγεί σε κρασάρισμα όλες τις εκδόσεις Android, συμπεριλαμβανομένης και της τελευταίας έκδοσης Android Lollipop, ενώ η δεύτερη οδηγεί σε bootloop την συσκευή και για την επαναφορά της απαιτείται πρόσβαση σε ADB interface και επανεγκατάσταση της ROM της συσκευής.

    Η Trend Micro έχει ήδη ενημερώσει σχετικά την Google.


    The Manifest File Vulnerability

    The vulnerability can cause the OS to crash through two different ways.

    The first involves very long strings and memory allocation. Some apps may contain huge strings in their .XML files, using document type definition (DTD) technology. When this string reference is assigned to some of the tags in AndroidManifest.xml (e.g., permission name, label, name of activity), the Package Parser will require memory to parse this .XML file. However, when it requires more memory than is available, the PackageParser will crash. This triggers a chain reaction wherein all the running services stops and the whole system consequently reboots once.

    The second way involves .APK files and a specific intent-filter, which declares what a service or activity can do. An icon will be created in the launcher if the manifest file contains an activity definition with this specific intent-filter:
    Κώδικας:
    <intent-filter>

        <action android:name=”android.intent.action.MAIN”/>

        <category android:name=”android.intent.category.LAUNCHER”/>

 </intent-filter>
    If there are many activities defined with this intent-filter, the same number of icons will be created in the home page after installation. However, if this number is too large, the .APK file will trigger a loop of rebooting.

    If the number of activities is bigger than 10,000:

    For Android OS version 4.4, the launcher process will undergo the reboot.
    For version L, the PackageParser crashes and reboots. The malformed .APK will be installed by no icon will be displayed.
    If the number of activities is larger than 100,000, the devices will undergo the loop of rebooting.

    Πηγή : Trend Micro blog
    Παράθεση Παράθεση
  2. 09-01-15, 15:47 Απάντηση: Ελλάτωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #2
    Το avatar του μέλους leon22heart
    leon22heart
    Το μέλος leon22heart δεν είναι συνδεδεμένο Newbie Member
    Εγγραφή
    01-10-2007
    Περιοχή
    Αθηνα
    Ηλικία
    37
    Μηνύματα
    17
    Downloads
    17
    Uploads
    0
    Τύπος
    ADSL2+ OTE
    Ταχύτητα
    8192/384
    ISP
    Conn-x OTE
    DSLAM
    ΟΤΕ - Ν. ΣΜΥΡΝΗ
    Router
    LINKSYS WAG200G
    SNR / Attn
    12(dB) / 25(dB)
    Spoiler:
    The first involves very long strings and memory allocation. Some apps may contain huge strings in their .XML files, using document type definition (DTD) technology. When this string reference is assigned to some of the tags in AndroidManifest.xml (e.g., permission name, label, name of activity), the Package Parser will require memory to parse this .XML file. However, when it requires more memory than is available, the PackageParser will crash. This triggers a chain reaction wherein all the running services stops and the whole system consequently reboots once.


    Σημαντικό bug , αν και αμφιβάλω πόσοι θα περιέχουν ένα τόσο μεγάλο string σε ενα xml , και δεν θα το σπάσουν σε επιμέρους (αλλά ποιος θα έβαζε κάτι τέτοιο ως label ,activity name ) .

    Spoiler:
    The second way involves .APK files and a specific intent-filter, which declares what a service or activity can do. An icon will be created in the launcher if the manifest file contains an activity definition with this specific intent-filter:


    Όχι και τόσο τρομερό , καθώς η φιλοσοφία του launcher είναι μια activity η service .

    Γενικά και τα 2 bugs είναι σημαντικά για μένα στο πως οδηγούν το σύστημα σε boot - loop που σημαίνει κάποια σοβαρή ευπάθεια στο λειτουργικό , και όχι ότι μπορεί να τα προκαλέσει κάποιος dev άθελα του μέσω της εφαρμογής του .
    Παράθεση Παράθεση
  3. 09-01-15, 17:40 Απάντηση: Ελλάτωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #3
    Το avatar του μέλους Hemlis
    Hemlis
    Το μέλος Hemlis δεν είναι συνδεδεμένο Junior Member
    Εγγραφή
    03-12-2007
    Μηνύματα
    97
    Downloads
    28
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16384/1024
    ISP
    Forthnet
    DSLAM
    Forthnet - ΑΠ. ΠΑΥΛΟΣ
    Tragik!!
    Υπαρχει καποιος τροπος να διορθωθεια αυτη η ευπαθεια ή θα περιμενουμε να το κανει η μαμα γουγλε;

    @ leon22heart
    Τι γινεται ομως αν καποιος dev το κανει"αθελα"του;
    Παράθεση Παράθεση
  4. 09-01-15, 17:53 Απάντηση: Ελλάτωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #4
    Το avatar του μέλους tpsalonika
    tpsalonika
    Το μέλος tpsalonika δεν είναι συνδεδεμένο Frequent Member
    Εγγραφή
    28-10-2010
    Ηλικία
    37
    Μηνύματα
    262
    Downloads
    0
    Uploads
    0
    Και τα δύο είναι τραβηγμένες από τα μαλλιά - μη ρεαλιστικές, περιπτώσεις και πολύ αμφιβάλω αν θα μπορούσαν να περάσουν τον έλεγχο του manifest που γίνεται από το google play την ώρα που κάνει upload ο dev την εφαρμογή
    Παράθεση Παράθεση
  5. 09-01-15, 18:45 Απάντηση: Ελλάτωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #5
    Το avatar του μέλους leon22heart
    leon22heart
    Το μέλος leon22heart δεν είναι συνδεδεμένο Newbie Member
    Εγγραφή
    01-10-2007
    Περιοχή
    Αθηνα
    Ηλικία
    37
    Μηνύματα
    17
    Downloads
    17
    Uploads
    0
    Τύπος
    ADSL2+ OTE
    Ταχύτητα
    8192/384
    ISP
    Conn-x OTE
    DSLAM
    ΟΤΕ - Ν. ΣΜΥΡΝΗ
    Router
    LINKSYS WAG200G
    SNR / Attn
    12(dB) / 25(dB)
    Παράθεση Αρχικό μήνυμα από Hemlis Εμφάνιση μηνυμάτων
    Tragik!!
    Υπαρχει καποιος τροπος να διορθωθεια αυτη η ευπαθεια ή θα περιμενουμε να το κανει η μαμα γουγλε;

    @ leon22heart
    Τι γίνεται όμως αν καποιος dev το κανει"αθελα"του;
    Τοτε την πατησες . Αν και οπως ειπε ο tpsalonika δεν θα πέρναγε τον έλεγχο στο playstore (είχε βρει το play ένα typo τελευταίας στιγμής στο manifest της δικιάς μου app , άρα κάτι τόσο σοβαρό θα το έβρισκε άμεσα ) . Αν και το 99% κατεβάζει από play , τι θα γίνει με αυτούς που κάνουν sideload τις app από xda η από άλλες sources ? Ίσως αυτά τα bug δεν έπρεπε να ανακοινωθούν δημόσια αλλά να κοινοποιηθούν μόνο στην ίδια την google.
    Παράθεση Παράθεση
  6. 09-01-15, 20:20 Απάντηση: Ελλάτωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #6
    Το avatar του μέλους nnn
    nnn
    Το μέλος nnn είναι συνδεδεμένο Haunted by your grace you know I'm falling Administrator
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.754
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Πολλοί χρήστες από Κίνα κυρίως "παίζουν" με δικά τους app stores και εκεί μπορεί να γίνει ψιλοχαμός αν κάποιος θέλει να προκαλέσει ζημιά.
    We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
    I forgot that I might see, so many Beautiful things
    everything that has a beginning has an end
    See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
    Παράθεση Παράθεση
  7. 10-01-15, 02:26 Απάντηση: Ελάττωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #7
    Το avatar του μέλους raidenfreeman
    raidenfreeman
    Το μέλος raidenfreeman δεν είναι συνδεδεμένο Advanced Member
    Εγγραφή
    19-03-2011
    Ηλικία
    34
    Μηνύματα
    572
    Downloads
    3
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    10383/979
    ISP
    HOL
    DSLAM
    HOL - ΠΕΙΡΑΙΑΣ
    Router
    Netgear DGND3700v2
    SNR / Attn
    5.1(dB) / 30.0(dB)
    Path Level
    Fastpath
    Δεν γίνεται να γίνει τυχαία παραγωγή τόσων activities από μία εφαρμογή.

    Επίσης αυτό το bug έτσι όπως περιγράφεται, συμβαίνει σε όλους όσους τρέξουν το app, δηλαδή είναι εύκολο να εντοπιστεί ποιο app το παράγει και να καταργηθεί απ' το store.
    Παράθεση Παράθεση
  8. 10-01-15, 03:58 Απάντηση: Ελάττωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #8
    Το avatar του μέλους aiolos.01
    aiolos.01
    Το μέλος aiolos.01 δεν είναι συνδεδεμένο Banned
    Εγγραφή
    30-09-2005
    Ηλικία
    47
    Μηνύματα
    6.974
    Downloads
    6
    Uploads
    0
    Εύκολο είναι να αποκλειστούν τέτοιες εφαρμογές απο το play store. Τώρα με το sideloading πάντα υπάρχουν κίνδυνοι.
    Παράθεση Παράθεση
  9. 23-01-15, 19:37 Απάντηση: Ελάττωμα στον τρόπο διαχείρισης του AndroidManifest.xml μπορεί να κρασάρει και να προκαλέσει bootloop στο Andr #9
    Το avatar του μέλους Helene
    Helene
    Το μέλος Helene δεν είναι συνδεδεμένο Expert Member
    Εγγραφή
    02-12-2012
    Ηλικία
    47
    Μηνύματα
    1.850
    Downloads
    0
    Uploads
    0
    Τύπος
    ADSL
    Ταχύτητα
    1020/13556kbps
    ISP
    Wind
    SNR / Attn
    16.2(dB) / 12.5(dB)
    Path Level
    Interleaved
    Πρέπει να είσαι πολύ γκαντέμης για να σου τύχει
    Παράθεση Παράθεση
« Προηγούμενο Θέμα | Επόμενο Θέμα »

Παρόμοια Θέματα

  1. Το Pixi 3 της Alcatel Onetouch μπορεί να "τρέξει" Windows Phone, Firefox OS και Android
    Από nnn στο φόρουμ Ειδήσεις
    Μηνύματα: 32
    Τελευταίο Μήνυμα: 02-02-15, 18:10
  2. Σημαντικό bug στον AOSP browser του Android αποτελεί μεγάλο κίνδυνο για την ιδιωτικότητα των χρηστών
    Από Φιλόσοφος_Στ@ρχίδας στο φόρουμ Ειδήσεις
    Μηνύματα: 22
    Τελευταίο Μήνυμα: 21-09-14, 18:31
  3. Επίδειξη εκτέλεσης iOS εφαρμογών στο Android από μέλη του Columbia University
    Από nnn στο φόρουμ Ειδήσεις
    Μηνύματα: 8
    Τελευταίο Μήνυμα: 18-05-14, 15:57
  4. Τα μειωμένα έσοδα του iTunes κάνουν την Apple να σκέφτεται να το επεκτείνει στο Android
    Από nnn στο φόρουμ Ειδήσεις
    Μηνύματα: 33
    Τελευταίο Μήνυμα: 26-03-14, 04:37
  5. Οι αρχές της Κορέας απαιτούν το προεγκατεστημένο bloatware στις Android συσκευές να μπορεί να αφαιρεθεί από τον χρήστη
    Από nnn στο φόρουμ Ειδήσεις
    Μηνύματα: 51
    Τελευταίο Μήνυμα: 01-02-14, 16:05

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας

Κανόνες του Forum