Google iniciativa , která plánuje zveřejnit data o zranitelnostech v zařízeních Android od různých výrobců OEM. Díky této iniciativě budou uživatelé transparentnější ohledně zranitelností specifických pro firmware s úpravami od výrobců třetích stran.
Až dosud oficiální zprávy o zranitelnosti (Android Security Bulletiny) odrážely pouze problémy v základním kódu nabízeném v úložišti AOSP, ale nezohledňovaly problémy specifické pro úpravy od výrobců OEM. Již Problémy se týkají výrobců jako ZTE, Meizu, Vivo, OPPO, Digitime, Transsion a Huawei.
Mezi zjištěnými problémy:
- V zařízeních Digitime místo kontroly dalších oprávnění pro přístup k rozhraní API instalační služby OTA aktualizace napevno zakódované heslo, které útočníkovi umožňuje tichou instalaci balíčků APK a změnu oprávnění aplikace.
- V alternativním prohlížeči oblíbeném u některých výrobců OEM správce hesel ve formě kódu JavaScript, který běží v kontextu každé stránky. Web ovládaný útočníkem by mohl získat plný přístup k úložišti hesel uživatele, které bylo zašifrováno pomocí nespolehlivého algoritmu DES a pevně zakódovaného klíče.
- Aplikace systémového uživatelského rozhraní na zařízeních Meizu dodatečný kód ze sítě bez šifrování a ověřování připojení. Sledováním HTTP provozu oběti by útočník mohl spustit svůj kód v kontextu aplikace.
- Zařízení Vivo měla metoda checkUidPermission třídy PackageManagerService k udělení dalších oprávnění některým aplikacím, i když tato oprávnění nejsou uvedena v souboru manifestu. V jedné verzi metoda udělovala veškerá oprávnění aplikacím s identifikátorem com.google.uid.shared. V jiné verzi byly názvy balíčků porovnávány se seznamem pro udělení oprávnění.
Zdroj: opennet.ru