MASTG-KNOW-0005: Vulnerabilidades de Corrupção de Memória

Aplicações Android são executadas em uma VM onde a maioria dos problemas de corrupção de memória foi resolvida. Isso não significa que não existam falhas de corrupção de memória. Veja, por exemplo, o CVE-2018-9522, que está relacionado a problemas de serialização usando Parcels. Além disso, em código nativo, ainda observamos os mesmos problemas explicados na seção geral sobre corrupção de memória. Por fim, vemos falhas de memória em serviços de suporte, como no ataque Stagefright, apresentado na BlackHat.

Vazamentos de memória também costumam ser um problema. Isso pode acontecer, por exemplo, quando uma referência ao objeto Context é passada para classes que não são Activity, ou quando você passa referências a classes Activity para suas classes auxiliares.