Google frumkvæði , sem ætlar að birta gögn um veikleika í Android tækjum frá ýmsum OEM framleiðendum. Framtakið mun gera það gagnsærra fyrir notendum um varnarleysi sem er sérstakur fyrir fastbúnað með breytingum frá þriðja aðila framleiðendum.
Hingað til hafa opinberar varnarleysisskýrslur (Android Security Bulletins) aðeins endurspeglað vandamál í kjarnakóðanum sem boðið er upp á í AOSP geymslunni, en hafa ekki tekið tillit til vandamála sem eru sérstaklega við breytingar frá OEM. Nú þegar Vandamálin hafa áhrif á framleiðendur eins og ZTE, Meizu, Vivo, OPPO, Digitime, Transsion og Huawei.
Meðal tilgreindra vandamála:
- Í Digitime tækjum, í stað þess að athuga viðbótarheimildir til að fá aðgang að OTA uppfærsluuppsetningarþjónustu API harðkóðuð lykilorð sem gerir árásarmanni kleift að setja upp APK-pakka hljóðlega og breyta heimildum forrita.
- Í öðrum vafra sem er vinsæll hjá sumum OEM lykilorðastjóri í formi JavaScript kóða sem keyrir í samhengi hverrar síðu. Vefsvæði stjórnað af árásarmanninum gæti fengið fullan aðgang að lykilorðageymslu notandans, sem var dulkóðuð með því að nota óáreiðanlega DES reikniritið og harðkóðaðan lykil.
- Kerfisviðmótsforrit á Meizu tækjum viðbótarkóði frá netinu án dulkóðunar og staðfestingar á tengingum. Með því að fylgjast með HTTP umferð fórnarlambsins gæti árásarmaðurinn keyrt kóðann sinn í samhengi við forritið.
- Vivo tæki höfðu checkUidPermission aðferð PackageManagerService flokksins til að veita viðbótarheimildir fyrir sum forrit, jafnvel þótt þessar heimildir séu ekki tilgreindar í upplýsingaskránni. Í einni útgáfu veitti aðferðin allar heimildir til forrita með auðkenninu com.google.uid.shared. Í annarri útgáfu voru pakkaheiti hakað við lista til að veita heimildir.
Heimild: opennet.ru