በጉግል መፈለግ ተነሳሽነት , በተለያዩ የኦሪጂናል ዕቃ አምራቾች ላይ ያሉ ተጋላጭነቶችን በአንድሮይድ መሳሪያዎች ላይ መረጃን ለማሳወቅ አቅዷል። ተነሳሽነቱ ከሶስተኛ ወገን አምራቾች ማሻሻያ ስላለው ለ firmware ልዩ ተጋላጭነቶች ለተጠቃሚዎች የበለጠ ግልፅ ያደርገዋል።
እስካሁን ድረስ፣ ይፋዊ የተጋላጭነት ሪፖርቶች (አንድሮይድ ሴኩሪቲ ቡለቲንስ) ጉዳዮችን የሚያንፀባርቁት በAOSP ማከማቻ ውስጥ ባለው ዋና ኮድ ላይ ብቻ ነው፣ ነገር ግን የኦሪጂናል ዕቃ አምራቾች ማሻሻያዎችን ከግምት ውስጥ አላስገቡም። አስቀድሞ ችግሮቹ እንደ ZTE፣ Meizu፣ Vivo፣ OPPO፣ Digitime፣ Transsion እና Huawei ባሉ አምራቾች ላይ ተፅእኖ አላቸው።
ከተለዩት ችግሮች መካከል፡-
- በዲጂታይም መሣሪያዎች፣ የኦቲኤ ማዘመኛ ጭነት አገልግሎት ኤፒአይን ለመድረስ ተጨማሪ ፈቃዶችን ከመፈተሽ ይልቅ አንድ አጥቂ በጸጥታ የኤፒኬ ፓኬጆችን እንዲጭን እና የመተግበሪያ ፈቃዶችን እንዲቀይር የሚያስችል ሃርድ ኮድ የተደረገ የይለፍ ቃል።
- በአንዳንድ የኦሪጂናል ዕቃ አምራቾች ዘንድ ታዋቂ በሆነ አማራጭ አሳሽ ውስጥ የይለፍ ቃል አስተዳዳሪ በእያንዳንዱ ገጽ አውድ ውስጥ በሚሰራ የጃቫ ስክሪፕት ኮድ መልክ። በአጥቂው የሚቆጣጠረው ጣቢያ የተጠቃሚውን የይለፍ ቃል ማከማቻ ሙሉ በሙሉ ማግኘት ይችላል ይህም አስተማማኝ ያልሆነውን DES ስልተቀመር እና ሃርድ-ኮድ ቁልፍን በመጠቀም የተመሰጠረ ነው።
- በMeizu መሣሪያዎች ላይ የስርዓት UI መተግበሪያ ተጨማሪ ኮድ ከአውታረ መረቡ ያለ ምስጠራ እና የግንኙነት ማረጋገጫ። የተጎጂውን የኤችቲቲፒ ትራፊክ በመከታተል አጥቂው በመተግበሪያው አውድ ውስጥ ኮዱን ማስኬድ ይችላል።
- Vivo መሣሪያዎች ነበሯቸው ለአንዳንድ መተግበሪያዎች ተጨማሪ ፈቃዶችን ለመስጠት የPackageManagerService ክፍልን checkUidPermission ዘዴ፣ ምንም እንኳን እነዚህ ፈቃዶች በማንፀባረቂያ ፋይሉ ውስጥ ባይገለፁም። በአንድ ስሪት ውስጥ፣ ስልቱ ለዪ com.google.uid.shared ማንኛውንም ፈቃድ ሰጥቷል። በሌላ ስሪት ውስጥ ፍቃዶችን ለመስጠት የጥቅል ስሞች ከዝርዝር ጋር ተረጋግጠዋል።
ምንጭ: opennet.ru