Google initiativet , som planlægger at afsløre data om sårbarheder i Android-enheder fra forskellige OEM-producenter. Initiativet vil gøre det mere gennemsigtigt for brugerne om sårbarheder, der er specifikke for firmware med modifikationer fra tredjepartsproducenter.
Indtil nu har officielle sårbarhedsrapporter (Android Security Bulletins) kun afspejlet problemer i kernekoden, der tilbydes i AOSP-lageret, men har ikke taget højde for problemer, der er specifikke for ændringer fra OEM'er. Allerede Problemerne rammer producenter som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion og Huawei.
Blandt de identificerede problemer:
- I Digitime-enheder, i stedet for at kontrollere yderligere tilladelser for at få adgang til OTA-opdateringsinstallationstjenestens API en hårdkodet adgangskode, der giver en hacker mulighed for stille og roligt at installere APK-pakker og ændre applikationstilladelser.
- I en alternativ browser populær hos nogle OEM'er password manager i form af JavaScript-kode, der kører i sammenhæng med hver side. Et websted kontrolleret af angriberen kunne få fuld adgang til brugerens adgangskodelager, som blev krypteret ved hjælp af den upålidelige DES-algoritme og en hårdkodet nøgle.
- System UI-applikation på Meizu-enheder ekstra kode fra netværket uden kryptering og forbindelsesverifikation. Ved at overvåge offerets HTTP-trafik kunne angriberen køre sin kode i forbindelse med applikationen.
- Vivo-enheder havde checkUidPermission-metoden for PackageManagerService-klassen til at give yderligere tilladelser til nogle applikationer, selvom disse tilladelser ikke er angivet i manifestfilen. I en version gav metoden alle tilladelser til applikationer med identifikatoren com.google.uid.shared. I en anden version blev pakkenavne kontrolleret mod en liste for at give tilladelser.
Kilde: opennet.ru