Google inisiatif , sing rencana kanggo mbukak data babagan kerentanan ing piranti Android saka macem-macem produsen OEM. Inisiatif kasebut bakal nggawe luwih transparan kanggo pangguna babagan kerentanan khusus kanggo perangkat kukuh kanthi modifikasi saka pabrikan pihak katelu.
Nganti saiki, laporan kerentanan resmi (Buletin Keamanan Android) mung nggambarake masalah ing kode inti sing ditawakake ing repositori AOSP, nanging ora nggatekake masalah khusus kanggo modifikasi saka OEM. wis Masalah kasebut mengaruhi produsen kayata ZTE, Meizu, Vivo, OPPO, Digitime, Transsion lan Huawei.
Antarane masalah sing diidentifikasi:
- Ing piranti Digitime, tinimbang mriksa ijin tambahan kanggo ngakses API layanan instalasi nganyari OTA sandi hardcoded sing ngidini panyerang kanggo quietly nginstal paket APK lan ngganti ijin aplikasi.
- Ing browser alternatif sing populer karo sawetara OEM manager sandi ing wangun kode JavaScript sing lumaku ing konteks saben kaca. Situs sing dikontrol dening panyerang bisa entuk akses lengkap menyang panyimpenan sandhi pangguna, sing dienkripsi nggunakake algoritma DES sing ora bisa dipercaya lan kunci kode keras.
- Aplikasi Sistem UI ing piranti Meizu kode tambahan saka jaringan tanpa enkripsi lan verifikasi sambungan. Kanthi ngawasi lalu lintas HTTP korban, panyerang bisa mbukak kode ing konteks aplikasi kasebut.
- Piranti Vivo wis metode checkUidPermission saka kelas PackageManagerService kanggo menehi ijin tambahan kanggo sawetara aplikasi, sanajan ijin kasebut ora kasebut ing file manifest. Ing siji versi, cara kasebut menehi idin kanggo aplikasi kanthi pengenal com.google.uid.shared. Ing versi liyane, jeneng paket dicenthang ing dhaptar kanggo menehi ijin.
Source: opennet.ru