Google ekimena , OEM fabrikatzaile ezberdinen Android gailuetako ahultasunei buruzko datuak ezagutzera emateko asmoa duena. Ekimenak erabiltzaileentzat gardenagoa izango da firmwarearen berariazko ahultasunei buruz, hirugarrenen fabrikatzaileen aldaketekin.
Orain arte, ahultasun-txosten ofizialek (Android Segurtasun Buletinak) AOSP biltegian eskaintzen den oinarrizko kodean arazoak baino ez dituzte islatu, baina ez dituzte kontuan izan OEM-en aldaketei buruzko arazo espezifikoak. Jadanik Arazoek ZTE, Meizu, Vivo, OPPO, Digitime, Transsion eta Huawei bezalako fabrikatzaileei eragiten diete.
Identifikatutako arazoen artean:
- Digitime gailuetan, OTA eguneratze-instalazio-zerbitzuaren APIra sartzeko baimen gehigarriak egiaztatu beharrean Erasotzaile bati APK paketeak isilean instalatzeko eta aplikazioen baimenak aldatzeko aukera ematen dion pasahitz gogor bat.
- OEM batzuen artean ezaguna den arakatzaile alternatibo batean pasahitz kudeatzailea Orrialde bakoitzaren testuinguruan exekutatzen den JavaScript kodearen moduan. Erasotzaileak kontrolatutako gune batek erabiltzailearen pasahitz biltegiratze osoa lor lezake, DES algoritmo fidagarria eta gogor kodetutako gako baten bidez zifratu zena.
- Sistemaren interfazearen aplikazioa Meizu gailuetan sareko kode gehigarria enkriptatutako eta konexio-egiaztapenik gabe. Biktimaren HTTP trafikoa kontrolatuz, erasotzaileak bere kodea exekuta dezake aplikazioaren testuinguruan.
- Vivo gailuek zuten PackageManagerService klaseko checkUidPermission metodoa aplikazio batzuei baimen gehigarriak emateko, baimen horiek manifestu fitxategian zehaztu ez badira ere. Bertsio batean, metodoak edozein baimen ematen zien com.google.uid.shared identifikatzailea zuten aplikazioei. Beste bertsio batean, paketeen izenak zerrenda batekin egiaztatu ziren baimenak emateko.
Iturria: opennet.ru