Google die Initiative , das Daten zu Schwachstellen in Android-Geräten verschiedener OEM-Hersteller offenlegen will. Durch die Initiative wird es für Anwender transparenter, welche Schwachstellen spezifische Firmware mit Modifikationen von Drittherstellern aufweist.
Bisher haben offizielle Schwachstellenberichte (Android-Sicherheitsbulletins) nur Probleme im im AOSP-Repository angebotenen Kerncode berücksichtigt, jedoch keine spezifischen Probleme bei Modifikationen von OEMs berücksichtigt. Bereits Die Probleme betreffen Hersteller wie ZTE, Meizu, Vivo, OPPO, Digitime, Transsion und Huawei.
Zu den identifizierten Problemen gehören:
- Anstatt auf Digitime-Geräten zusätzliche Berechtigungen für den Zugriff auf die OTA-Update-Installationsdienst-API zu prüfen ein fest codiertes Passwort, das es einem Angreifer ermöglicht, stillschweigend APK-Pakete zu installieren und Anwendungsberechtigungen zu ändern.
- In einem alternativen Browser, der bei einigen OEMs beliebt ist Passwortmanager in Form von JavaScript-Code, der im Kontext jeder Seite ausgeführt wird. Eine vom Angreifer kontrollierte Site könnte vollständigen Zugriff auf den Passwortspeicher des Benutzers erhalten, der mit dem unzuverlässigen DES-Algorithmus und einem hartcodierten Schlüssel verschlüsselt wurde.
- System-UI-Anwendung auf Meizu-Geräten zusätzlicher Code aus dem Netzwerk ohne Verschlüsselung und Verbindungsüberprüfung. Durch die Überwachung des HTTP-Verkehrs des Opfers konnte der Angreifer seinen Code im Kontext der Anwendung ausführen.
- Vivo-Geräte hatten checkUidPermission-Methode der PackageManagerService-Klasse, um einigen Anwendungen zusätzliche Berechtigungen zu erteilen, auch wenn diese Berechtigungen nicht in der Manifestdatei angegeben sind. In einer Version erteilte die Methode Anwendungen mit der Kennung com.google.uid.shared beliebige Berechtigungen. In einer anderen Version wurden Paketnamen anhand einer Liste überprüft, um Berechtigungen zu erteilen.
Source: opennet.ru