自1月底以来,谷歌就接到了一些Android SDK安全漏洞的报告。随着谷歌将这一SDK提供给开源社区,漏洞检测成为软件开发的一个必要部分。Core Security对Android SDK提出了多个建议。尽管目前已有Android原型机公布,但是只有软件漏洞得到足够的关注,这些原型机才能走向市场。
谷歌在一份声明中表示:“Android SDK目前的版本是提供给开源社区的早期版本,开发者通过这一版本的平台为Android的开发打下基础,并为未来的生产做准备。开放手机联盟欢迎安全公司进入开发过程。在Android最终推出之前,必将进行许多修改和升级,包括完整的安全评估。”
Core Security此前发现的安全漏洞主要关于Android网页浏览器的图像处理功能。该公司表示,浏览器在处理GIF、BMP和PNG图像时的漏洞将使得平台容易受到攻击,并可能执行恶意代码。
谷歌发布的新版本SDK解决了这些问题,但是Core Security在进一步研究中发现,新版本SDK存在无需密码的根帐户,这将使得无特权用户通过简单的程序获得特权。 字串8