Guglo iniciato , kiu planas malkaŝi datumojn pri vundeblecoj en Android-aparatoj de diversaj OEM-fabrikistoj. La iniciato faros ĝin pli travidebla al uzantoj pri vundeblecoj specifaj por firmvaro kun modifoj de triaj fabrikistoj.
Ĝis nun, oficialaj vundeblaj raportoj (Androidaj Sekurecbultenoj) nur reflektis problemojn en la kerna kodo ofertita en la deponejo de AOSP, sed ne konsideris aferojn specifajn por modifoj de OEM-oj. Jam La problemoj influas fabrikantojn kiel ZTE, Meizu, Vivo, OPPO, Digitime, Transsion kaj Huawei.
Inter la identigitaj problemoj:
- En Digitime-aparatoj, anstataŭ kontroli pliajn permesojn por aliri la API-servon de instalado de ĝisdatigo de OTA malmola kodita pasvorto, kiu permesas al atakanto trankvile instali APK-pakaĵojn kaj ŝanĝi aplikajn permesojn.
- En alternativa retumilo populara ĉe iuj OEM-oj pasvortmanaĝero en la formo de JavaScript-kodo kiu funkcias en la kunteksto de ĉiu paĝo. Retejo kontrolita fare de la atakanto povis akiri plenan aliron al la pasvorta stokado de la uzanto, kiu estis ĉifrita uzante la nefidindan DES-algoritmon kaj malmolkoditan ŝlosilon.
- Sistema UI-apliko sur Meizu-aparatoj kroma kodo de la reto sen ĉifrado kaj konektokontrolo. Monitorante la HTTP-trafikon de la viktimo, la atakanto povus ruli sian kodon en la kunteksto de la aplikaĵo.
- Vivo aparatoj havis checkUidPermission-metodo de la klaso PackageManagerService por doni aldonajn permesojn al iuj aplikaĵoj, eĉ se ĉi tiuj permesoj ne estas specifitaj en la manifestdosiero. En unu versio, la metodo donis ajnajn permesojn al aplikoj kun la identigilo com.google.uid.shared. En alia versio, pakaĵnomoj estis kontrolitaj kontraŭ listo por doni permesojn.
fonto: opennet.ru