Google təşəbbüs , müxtəlif OEM istehsalçılarının Android cihazlarında zəifliklər haqqında məlumatları açıqlamağı planlaşdırır. Təşəbbüs üçüncü tərəf istehsalçılarının modifikasiyası ilə proqram təminatına xas zəifliklər haqqında istifadəçilər üçün onu daha şəffaf edəcək.
İndiyədək rəsmi zəiflik hesabatları (Android Təhlükəsizlik Bülletenləri) yalnız AOSP repozitoriyasında təklif olunan əsas koddakı problemləri əks etdirirdi, lakin OEM-lərin modifikasiyalarına xas olan məsələləri nəzərə almayıb. Artıq Problemlər ZTE, Meizu, Vivo, OPPO, Digitime, Transsion və Huawei kimi istehsalçıları əhatə edir.
Müəyyən edilmiş problemlər arasında:
- Digitime cihazlarında OTA yeniləmə quraşdırma xidmətinə daxil olmaq üçün əlavə icazələri yoxlamaq əvəzinə təcavüzkarın sakitcə APK paketlərini quraşdırmasına və tətbiq icazələrini dəyişməsinə imkan verən sərt kodlaşdırılmış parol.
- Bəzi OEM-lər ilə məşhur olan alternativ brauzerdə parol meneceri hər səhifənin kontekstində işləyən JavaScript kodu şəklində. Təcavüzkar tərəfindən idarə olunan sayt etibarsız DES alqoritmi və sərt kodlu açardan istifadə etməklə şifrələnmiş istifadəçinin parol yaddaşına tam giriş əldə edə bilər.
- Meizu cihazlarında sistem UI tətbiqi şifrələmə və əlaqə yoxlanışı olmadan şəbəkədən əlavə kod. Qurbanın HTTP trafikinə nəzarət etməklə təcavüzkar öz kodunu proqram kontekstində işlədə bilər.
- Vivo cihazları var idi Bəzi proqramlara əlavə icazələr vermək üçün PackageManagerService sinifinin checkUidPermission metodu, hətta bu icazələr manifest faylında göstərilməsə belə. Bir versiyada metod com.google.uid.shared identifikatoru ilə tətbiqlərə hər hansı icazə verir. Başqa bir versiyada icazələrin verilməsi üçün paket adları siyahıya qarşı yoxlanılıb.
Mənbə: opennet.ru