Más de 350 fallos en el Kernel de Android

Recientemente ha sido publicado el informe Coverity Scan 2010 Open Source Integrity Report; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este informe se realiza sobre programas de código abierto y este año le ha tocado el turno al kernel de Android.

Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal HTC Droid Incredible, el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.

Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio. Para detectar los errores se ha empleado un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.

Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso al GPS sin autenticación, entre otros posibles impactos.

Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.

Los componentes donde se han encontrado los fallos han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallos críticos se encuentran el las especificaciones de Android.

Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de estos y serán publicadas cuando estén disponibles los parches. Alguno de estos fallos puede que afecte a versiones inferiores de Android.

Vía| Hispasec

2 thoughts on “Más de 350 fallos en el Kernel de Android

  1. Ojala se resuelvan pronto estos problemas. Creo también que las empresas deberían destinar recursos a la auditoría del software antes de lanzarlos a la calle

  2. En general estas investigaciones utilizan fuzzers para ver dónde falla, no he leído el informe oficial, pero habría que ver cuantos de estos son explotables, porque pueden ser fallos pero quizá no sean explotables, y además la criticidad en los dispositivos portátiles, smartphones en particular, viene dada por vulnerabilidades remotas, ya si fueran locales pierde algo de crítico.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>