Google бастама , оның аясында осалдықтары туралы ақпаратты ашу жоспарлануда Android-әртүрлі OEM өндірушілерінің құрылғылары. Бұл бастама микробағдарламаға тән осалдықтарды үшінші тарап модификацияларымен пайдаланушыларға хабарлаудағы ашықтықты жақсартады.
Әзірге осалдық туралы ресми есептер жоқ (Android Қауіпсіздік бюллетеньдері) тек AOSP репозиторийіне жіберілген негізгі кодтағы мәселелерді көрсетті, бірақ OEM модификацияларына тән мәселелерді ескермеді. Мәселелер ZTE, Meizu, Vivo, OPPO, Digitime, Transsion және Huawei сияқты өндірушілерге әсер етеді.
Анықталған мәселелердің ішінде:
- Digitime құрылғыларында OTA жаңартуды орнату қызметінің API интерфейсіне кіру үшін қосымша рұқсаттарды тексерудің орнына Зиянкестерге APK бумаларын анықтаусыз орнатуға және қолданбаның рұқсаттарын өзгертуге мүмкіндік беретін қатты кодталған құпия сөз.
- Кейбір OEM құрылғыларында танымал балама шолғышта құпия сөз менеджері әр беттің контекстінде жұмыс істейтін JavaScript коды түрінде. Шабуыл жасаушы басқаратын веб-сайт әлсіз DES алгоритмі және қатты кодталған кілт арқылы шифрланған пайдаланушының құпия сөз қоймасына толық қол жеткізе алады.
- Meizu құрылғыларындағы жүйелік UI қолданбасы Шифрлаусыз немесе қосылымды тексерусіз желіден қосымша код. Жәбірленушінің HTTP трафигін бақылай отырып, шабуылдаушы қолданба контекстінде өз кодын орындай алады.
- Vivo құрылғылары болды PackageManagerService сыныбының checkUidPermission әдісі, тіпті манифест файлында бұл рұқсаттар көрсетілмесе де, белгілі бір қолданбаларға қосымша рұқсаттар беру үшін пайдаланылады. Бір нұсқада әдіс com.google.uid.shared идентификаторы бар қолданбаларға кез келген рұқсаттарды берді. Басқа нұсқада рұқсаттар бума атауларын тізімге қарсы тексеру арқылы берілді.
Ақпарат көзі: opennet.ru
