በጉግል መፈለግ
እስካሁን ድረስ፣ ይፋዊ የተጋላጭነት ሪፖርቶች (አንድሮይድ ሴኩሪቲ ቡለቲንስ) ጉዳዮችን የሚያንፀባርቁት በAOSP ማከማቻ ውስጥ ባለው ዋና ኮድ ላይ ብቻ ነው፣ ነገር ግን የኦሪጂናል ዕቃ አምራቾች ማሻሻያዎችን ከግምት ውስጥ አላስገቡም። አስቀድሞ
ከተለዩት ችግሮች መካከል፡-
- በዲጂታይም መሣሪያዎች፣ የኦቲኤ ማዘመኛ ጭነት አገልግሎት ኤፒአይን ለመድረስ ተጨማሪ ፈቃዶችን ከመፈተሽ ይልቅ
ጥቅም ላይ ውሏል አንድ አጥቂ በጸጥታ የኤፒኬ ፓኬጆችን እንዲጭን እና የመተግበሪያ ፈቃዶችን እንዲቀይር የሚያስችል ሃርድ ኮድ የተደረገ የይለፍ ቃል። - በአንዳንድ የኦሪጂናል ዕቃ አምራቾች ዘንድ ታዋቂ በሆነ አማራጭ አሳሽ ውስጥ
ፎኒክስ የይለፍ ቃል አስተዳዳሪተተግብሯል በእያንዳንዱ ገጽ አውድ ውስጥ በሚሰራ የጃቫ ስክሪፕት ኮድ መልክ። በአጥቂው የሚቆጣጠረው ጣቢያ የተጠቃሚውን የይለፍ ቃል ማከማቻ ሙሉ በሙሉ ማግኘት ይችላል ይህም አስተማማኝ ያልሆነውን DES ስልተቀመር እና ሃርድ-ኮድ ቁልፍን በመጠቀም የተመሰጠረ ነው። - በMeizu መሣሪያዎች ላይ የስርዓት UI መተግበሪያ
ተጭኗል ተጨማሪ ኮድ ከአውታረ መረቡ ያለ ምስጠራ እና የግንኙነት ማረጋገጫ። የተጎጂውን የኤችቲቲፒ ትራፊክ በመከታተል አጥቂው በመተግበሪያው አውድ ውስጥ ኮዱን ማስኬድ ይችላል። - Vivo መሣሪያዎች ነበሯቸው
ተሻሽሏል። ለአንዳንድ መተግበሪያዎች ተጨማሪ ፈቃዶችን ለመስጠት የPackageManagerService ክፍልን checkUidPermission ዘዴ፣ ምንም እንኳን እነዚህ ፈቃዶች በማንፀባረቂያ ፋይሉ ውስጥ ባይገለፁም። በአንድ ስሪት ውስጥ፣ ስልቱ ለዪ com.google.uid.shared ማንኛውንም ፈቃድ ሰጥቷል። በሌላ ስሪት ውስጥ ፍቃዶችን ለመስጠት የጥቅል ስሞች ከዝርዝር ጋር ተረጋግጠዋል።
ምንጭ: opennet.ru