ProHoster > Блог > balita sa internet > Ipadayag sa Google ang mga kahuyangan sa mga third-party nga Android device

Ipadayag sa Google ang mga kahuyangan sa mga third-party nga Android device

Google gipresentar inisyatiba Pagkahuyang sa Android Partner, nga nagplano sa pagbutyag sa datos sa mga kahuyangan sa mga Android device gikan sa nagkalain-laing OEM manufacturers. Ang inisyatibo maghimo niini nga mas transparent sa mga tiggamit bahin sa mga kahuyangan nga piho sa firmware nga adunay mga pagbag-o gikan sa mga tiggama sa ikatulo nga partido.

Hangtud karon, ang opisyal nga mga taho sa kahuyang (Android Security Bulletin) nagpakita lamang sa mga isyu sa core code nga gisugyot sa AOSP repository, apan wala gikonsiderar ang mga isyu nga espesipiko sa mga pagbag-o gikan sa mga OEM. Naa na gipadayag Ang mga problema nakaapekto sa mga tiggama sama sa ZTE, Meizu, Vivo, OPPO, Digitime, Transsion ug Huawei.

Lakip sa giila nga mga problema:

  • Sa mga aparato sa Digitime, imbes nga susihon ang dugang nga mga pagtugot aron ma-access ang OTA update installation service API gigamit usa ka hardcoded nga password nga nagtugot sa usa ka tig-atake sa hilom nga pag-install sa mga pakete sa APK ug pagbag-o sa mga pagtugot sa aplikasyon.
  • Sa usa ka alternatibo nga browser nga popular sa pipila ka mga OEM Phoenix tagdumala sa password gipatuman sa porma sa JavaScript code nga nagdagan sa konteksto sa matag panid. Ang usa ka site nga kontrolado sa tig-atake mahimong makakuha og bug-os nga pag-access sa pagtipig sa password sa user, nga gi-encrypt gamit ang dili kasaligan nga DES algorithm ug usa ka hard-coded nga yawe.
  • Aplikasyon sa System UI sa mga aparato sa Meizu gikarga dugang nga code gikan sa network nga walay encryption ug koneksyon verification. Pinaagi sa pagmonitor sa trapiko sa HTTP sa biktima, ang tig-atake mahimong magpadagan sa iyang code sa konteksto sa aplikasyon.
  • Ang mga aparato sa Vivo adunay pag-usab checkUidPermission nga paagi sa PackageManagerService nga klase para maghatag ug dugang nga permiso sa pipila ka aplikasyon, bisan kung kini nga mga permiso wala gipiho sa manifest file. Sa usa ka bersyon, ang pamaagi naghatag ug bisan unsang pagtugot sa mga aplikasyon nga adunay identifier nga com.google.uid.shared. Sa lain nga bersyon, ang mga ngalan sa pakete gisusi batok sa usa ka lista aron mahatagan ang mga pagtugot.

Source: opennet.ru

Idugang sa usa ka comment