Google бастама , ол әртүрлі OEM өндірушілерінің Android құрылғыларындағы осалдықтар туралы деректерді ашуды жоспарлап отыр. Бастама үшінші тарап өндірушілерінің модификациялары бар микробағдарламаға тән осалдықтар туралы пайдаланушыларға оны ашық етеді.
Осы уақытқа дейін осалдық туралы ресми есептер (Android қауіпсіздік бюллетендері) AOSP репозиторийінде ұсынылған негізгі кодтағы мәселелерді ғана көрсетті, бірақ OEM модификацияларына қатысты мәселелерді ескермеді. Қазірдің өзінде Мәселелер ZTE, Meizu, Vivo, OPPO, Digitime, Transsion және Huawei сияқты өндірушілерге әсер етеді.
Анықталған проблемалардың ішінде:
- Digitime құрылғыларында OTA жаңартуды орнату қызметіне API кіруге қосымша рұқсаттарды тексерудің орнына шабуылдаушыға APK бумаларын тыныш орнатуға және қолданба рұқсаттарын өзгертуге мүмкіндік беретін қатты кодталған құпия сөз.
- Кейбір OEM құрылғыларында танымал балама шолғышта құпия сөз менеджері әр беттің контекстінде жұмыс істейтін JavaScript коды түрінде. Шабуылдаушы басқаратын сайт сенімсіз DES алгоритмі және қатты кодталған кілт арқылы шифрланған пайдаланушының құпия сөз қоймасына толық қол жеткізе алады.
- Meizu құрылғыларындағы жүйелік UI қолданбасы шифрлаусыз және қосылымды тексерусіз желіден қосымша код. Жәбірленушінің HTTP трафигін бақылай отырып, шабуылдаушы өз кодын қолданба контекстінде іске қоса алады.
- Vivo құрылғылары болды Бұл рұқсаттар манифест файлында көрсетілмесе де, кейбір қолданбаларға қосымша рұқсаттар беру үшін PackageManagerService сыныбының checkUidPermission әдісі. Бір нұсқада әдіс com.google.uid.shared идентификаторы бар қолданбаларға кез келген рұқсаттарды берді. Басқа нұсқада бума атаулары рұқсаттар беру үшін тізімге қарсы тексерілді.
Ақпарат көзі: opennet.ru