新闻快讯
< >

Android“奥利奥”自适应图标被曝漏洞 数千部手机无限重启

E安全11月3日讯 安卓“奥利奥”操作系统(Android  Oreo)引入的“自适应图标”(Adaptive Icons)功能被曝漏洞,致使数千部手机陷入无限重启模式(Boot Loop),用户被迫恢复出厂设置,导致数据丢失。

Android“奥利奥”自适应图标被曝漏洞 数千部手机无限重启-E安全

Android版“滑动的脸书”(Swipe for Facebook,一款Facebook套壳浏览器工具应用)的开发人员Jcbsera发现该漏洞,所幸漏洞不影响默认状态的Android Oreo((8.0)

“自适应图标”应用程序受影响

这个漏洞只对使用自适应图标功能的应用程序构成影响。Android Oreo引入的这项新功能会根据用户的设备修改图标的形状和大小,或修改用户在设备上使用的启动器类型。

自适应图标的样式被定义为本地XML文件。当Jcbsera使用与XML文件(ic_launcher_main.png and ic_launcher_main.xml)相同的名称对自适应图标的前景图像重命名时,该漏洞便会暴露出来。

相同名称的两个文件循环引用

Jcbsera开发应用程序时并未发现这个漏洞,因为他只在Android Studio 应用程序提供的Android模拟器中测试自己开发的新版应用程序。

然而,当Jcbsera将更新推送给用户后,用户在Play Store应用商店页面的抱怨和差评如潮时,他才发现都是该漏洞惹的祸。Jcbsera向谷歌提交漏洞报告时写到,名称相同的两个文件引起循环引用,而Android Studio并未注意该问题。这个问题导致SystemUI和手机的启动器(Pixel Launcher和其它支持自适应图标的启动器)不断崩溃,用户因此无法进入启动器,更不用说进入“设置”卸载这款应用程序,最终导致手机无限重启。

一旦安装、就无限重启

Jcbsera表示,触发漏洞无需用户打开这款应用程序,只要安装到设备上就会进入无限重启模式。

Jcbsera补充称,唯一的解决方案是通过adb(Android Debug Bridge)卸载这款应用(幸运的话,会在手机重启并启用USB调试之前及时进入adb),但最终还是会收到出厂恢复提示,数千名用户因此受到干扰。

与此同时,这名开发人员发布的新版Swipe for Facebook不会导致Android Oreo设备崩溃。

Android开发人员向Jcbsera表示,他们计划在即将发布的8.1版本中修复该漏洞。

谷歌发布Android Oreo已有数日,用户还发现谷歌新移动操作系统中存在漏洞,可绕过WiFi连接,并持续使用移动数据联网,导致用户遭受经济损失。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。