グーグル イニシアチブ 、さまざまな OEM メーカーの Android デバイスの脆弱性に関するデータを公開する予定です。 この取り組みにより、サードパーティメーカーによる修正が加えられたファームウェアに特有の脆弱性について、ユーザーに対する透明性が高まります。
これまで、公式の脆弱性レポート (Android Security Bulletins) では、AOSP リポジトリで提供されているコア コードの問題のみが反映されており、OEM からの変更に特有の問題は考慮されていませんでした。 すでに この問題は、ZTE、Meizu、Vivo、OPPO、Digitime、Transsion、Huaweiなどのメーカーに影響を及ぼします。
特定された問題には次のようなものがあります。
- Digitime デバイスでは、OTA アップデート インストール サービス API にアクセスするための追加の権限をチェックする代わりに ハードコードされたパスワードにより、攻撃者は APK パッケージを静かにインストールし、アプリケーションの権限を変更できます。
- 一部の OEM で人気のある代替ブラウザの場合 パスワードマネージャー 各ページのコンテキストで実行される JavaScript コードの形式で。 攻撃者が管理するサイトは、信頼性の低い DES アルゴリズムとハードコードされたキーを使用して暗号化されたユーザーのパスワード ストレージに完全にアクセスできる可能性があります。
- Meizu デバイス上のシステム UI アプリケーション 暗号化や接続検証を行わずにネットワークから追加のコードを送信します。 攻撃者は、被害者の HTTP トラフィックを監視することで、アプリケーションのコンテキストでコードを実行する可能性があります。
- Vivo デバイスには、 PackageManagerService クラスの checkUidPermission メソッドを使用して、マニフェスト ファイルでこれらのアクセス許可が指定されていない場合でも、一部のアプリケーションに追加のアクセス許可を付与します。 あるバージョンでは、このメソッドは識別子 com.google.uid.shared を持つアプリケーションにあらゆる権限を付与しました。 別のバージョンでは、パッケージ名がリストと照合されてアクセス許可が付与されました。
出所: オープンネット.ru