Google inisiatief , wat beplan om data oor kwesbaarhede in Android-toestelle van verskeie OEM-vervaardigers bekend te maak. Die inisiatief sal dit meer deursigtig maak vir gebruikers oor kwesbaarhede spesifiek vir firmware met wysigings van derdeparty-vervaardigers.
Tot nou toe het amptelike kwesbaarheidsverslae (Android-sekuriteitsbulletins) slegs probleme in die kernkode wat in die AOSP-bewaarplek aangebied word, weerspieël, maar het nie kwessies wat spesifiek met aanpassings van OEM's is, in ag geneem nie. Reeds Die probleme raak vervaardigers soos ZTE, Meizu, Vivo, OPPO, Digitime, Transsion en Huawei.
Onder die geïdentifiseerde probleme:
- In Digitime-toestelle, in plaas daarvan om bykomende toestemmings na te gaan om toegang tot die OTA-opdateringsinstallasiediens-API te verkry 'n hardgekodeerde wagwoord wat 'n aanvaller toelaat om rustig APK-pakkette te installeer en toepassingstoestemmings te verander.
- In 'n alternatiewe blaaier wat gewild is by sommige OEM's wagwoord bestuurder in die vorm van JavaScript-kode wat in die konteks van elke bladsy loop. 'n Webwerf wat deur die aanvaller beheer word, kan volle toegang verkry tot die gebruiker se wagwoordberging, wat geïnkripteer is met die onbetroubare DES-algoritme en 'n hardgekodeerde sleutel.
- Stelsel-UI-toepassing op Meizu-toestelle addisionele kode vanaf die netwerk sonder enkripsie en verbindingsverifikasie. Deur die slagoffer se HTTP-verkeer te monitor, kan die aanvaller sy kode in die konteks van die toepassing laat loop.
- Vivo-toestelle het checkUidPermission-metode van die PackageManagerService-klas om bykomende toestemmings aan sommige toepassings toe te staan, selfs al is hierdie toestemmings nie in die manifeslêer gespesifiseer nie. In een weergawe het die metode enige toestemmings verleen aan toepassings met die identifiseerder com.google.uid.shared. In 'n ander weergawe is pakketname teen 'n lys gekontroleer om toestemmings te verleen.
Bron: opennet.ru