Google inisjatyf , dy't plannen om gegevens oer kwetsberens yn Android-apparaten te iepenbierjen fan ferskate OEM-fabrikanten. It inisjatyf sil it transparanter meitsje foar brûkers oer kwetsberens spesifyk foar firmware mei oanpassingen fan fabrikanten fan tredden.
Oant no ta hawwe offisjele kwetsberensrapporten (Android Security Bulletins) allinich problemen wjerspegele yn 'e kearnkoade oanbean yn it AOSP-repository, mar hawwe gjin rekken holden mei problemen spesifyk foar oanpassingen fan OEM's. Al De problemen beynfloedzje fabrikanten lykas ZTE, Meizu, Vivo, OPPO, Digitime, Transsion en Huawei.
Under de identifisearre problemen:
- Yn Digitime-apparaten, ynstee fan ekstra tagongsrjochten te kontrolearjen om tagong te krijen ta de OTA-update-ynstallaasjetsjinst API in hardcoded wachtwurd wêrmei in oanfaller rêstich APK-pakketten kin ynstallearje en tapassingsrjochten feroarje.
- Yn in alternative browser populêr by guon OEM's wachtwurd manager yn 'e foarm fan JavaScript-koade dy't rint yn' e kontekst fan elke side. In side kontroleare troch de oanfaller koe folsleine tagong krije ta de wachtwurdopslach fan 'e brûker, dy't fersifere waard mei it ûnbetroubere DES-algoritme en in hurdkodearre kaai.
- Systeem UI-applikaasje op Meizu-apparaten ekstra koade fan it netwurk sûnder fersifering en ferbining ferifikaasje. Troch it HTTP-ferkear fan it slachtoffer te kontrolearjen, koe de oanfaller syn koade útfiere yn 'e kontekst fan' e applikaasje.
- Vivo apparaten hiene checkUidPermission-metoade fan 'e PackageManagerService-klasse om ekstra tagongsrjochten te jaan oan guon applikaasjes, sels as dizze tagongsrjochten net oantsjutte binne yn it manifestbestân. Yn ien ferzje joech de metoade alle tagongsrjochten foar applikaasjes mei de identifier com.google.uid.shared. Yn in oare ferzje waarden pakketnammen kontrolearre tsjin in list om tagongsrjochten te jaan.
Boarne: opennet.ru