E安全11月3日讯 安卓“奥利奥”操作系统（Android  Oreo）引入的“自适应图标”（Adaptive Icons）功能被曝漏洞，致使数千部手机陷入无限重启模式（Boot Loop），用户被迫恢复出厂设置，导致数据丢失。

Android版“滑动的脸书”（Swipe for Facebook，一款Facebook套壳浏览器工具应用）的开发人员Jcbsera发现该漏洞，所幸漏洞不影响默认状态的Android Oreo（(8.0）

“自适应图标”应用程序受影响

这个漏洞只对使用自适应图标功能的应用程序构成影响。Android Oreo引入的这项新功能会根据用户的设备修改图标的形状和大小，或修改用户在设备上使用的启动器类型。

自适应图标的样式被定义为本地XML文件。当Jcbsera使用与XML文件（ic_launcher_main.png and ic_launcher_main.xml）相同的名称对自适应图标的前景图像重命名时，该漏洞便会暴露出来。

相同名称的两个文件循环引用

Jcbsera开发应用程序时并未发现这个漏洞，因为他只在Android Studio 应用程序提供的Android模拟器中测试自己开发的新版应用程序。

然而，当Jcbsera将更新推送给用户后，用户在Play Store应用商店页面的抱怨和差评如潮时，他才发现都是该漏洞惹的祸。Jcbsera向谷歌提交漏洞报告时写到，名称相同的两个文件引起循环引用，而Android Studio并未注意该问题。这个问题导致SystemUI和手机的启动器（Pixel Launcher和其它支持自适应图标的启动器）不断崩溃，用户因此无法进入启动器，更不用说进入“设置”卸载这款应用程序，最终导致手机无限重启。

一旦安装、就无限重启

Jcbsera表示，触发漏洞无需用户打开这款应用程序，只要安装到设备上就会进入无限重启模式。

Jcbsera补充称，唯一的解决方案是通过adb（Android Debug Bridge）卸载这款应用（幸运的话，会在手机重启并启用USB调试之前及时进入adb），但最终还是会收到出厂恢复提示，数千名用户因此受到干扰。

与此同时，这名开发人员发布的新版Swipe for Facebook不会导致Android Oreo设备崩溃。

Android开发人员向Jcbsera表示，他们计划在即将发布的8.1版本中修复该漏洞。

谷歌发布Android Oreo已有数日，用户还发现谷歌新移动操作系统中存在漏洞，可绕过WiFi连接，并持续使用移动数据联网，导致用户遭受经济损失。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1609014097.shtml

▼点击“阅读原文” 查看更多精彩内容