OASAM-DV-005: Dos Null Check in IPC

Descripción
Android finaliza las aplicaciones cuando se encuentra una referencia a valores null. Si al recuperar datos de un Intent no se realizan comprobaciones de valores null, un atacante podría enviar Intents con campos null para denegar el servicio a las aplicaciones, especialmente a las que tengan servicios en ejecución. En especial, se debe comprobar la existencia de nulos al recuperar datos de un Intent, especialmente los siguientes métodos: getAction() y getExtra().
 

Riesgos
Esta vulnerabilidad pone en riesgo la disponibilidad de las aplicaciones que no realicen chequeos para no tratar de acceder a valores nulos. En el caso de aplicaciones que inicien servicios, un atacante podría denegar dichos servicios sin que el usuario tuviera conocimiento, por lo que es especialmente dañino.


Recomendaciones
Se recomienda realizar comprobaciones de valores null al recibir datos de los Intents, especialmente los siguientes métodos: getAction() y getExtra().


Referencias
1. Flaw 5.2.5 de “A Study of Android Application Security”
2. OWASP Top Ten Mobile Risk número 4: Client Side Injection