ಗೂಗಲ್ ಉಪಕ್ರಮ , ಇದು ವಿವಿಧ OEM ತಯಾರಕರಿಂದ Android ಸಾಧನಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳ ಕುರಿತು ಡೇಟಾವನ್ನು ಬಹಿರಂಗಪಡಿಸಲು ಯೋಜಿಸಿದೆ. ಈ ಉಪಕ್ರಮವು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ತಯಾರಕರಿಂದ ಮಾರ್ಪಾಡುಗಳೊಂದಿಗೆ ಫರ್ಮ್ವೇರ್ಗೆ ನಿರ್ದಿಷ್ಟವಾದ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಬಳಕೆದಾರರಿಗೆ ಹೆಚ್ಚು ಪಾರದರ್ಶಕವಾಗಿಸುತ್ತದೆ.
ಇಲ್ಲಿಯವರೆಗೆ, ಅಧಿಕೃತ ದುರ್ಬಲತೆಯ ವರದಿಗಳು (Android ಸೆಕ್ಯುರಿಟಿ ಬುಲೆಟಿನ್ಗಳು) AOSP ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ನೀಡಲಾದ ಕೋರ್ ಕೋಡ್ನಲ್ಲಿನ ಸಮಸ್ಯೆಗಳನ್ನು ಮಾತ್ರ ಪ್ರತಿಬಿಂಬಿಸುತ್ತವೆ, ಆದರೆ OEM ಗಳಿಂದ ಮಾರ್ಪಾಡುಗಳಿಗೆ ನಿರ್ದಿಷ್ಟವಾದ ಸಮಸ್ಯೆಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡಿಲ್ಲ. ಈಗಾಗಲೇ ಸಮಸ್ಯೆಗಳು ZTE, Meizu, Vivo, OPPO, Digitime, Transsion ಮತ್ತು Huawei ನಂತಹ ತಯಾರಕರ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ.
ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳ ಪೈಕಿ:
- ಡಿಜಿಟೈಮ್ ಸಾಧನಗಳಲ್ಲಿ, OTA ಅಪ್ಡೇಟ್ ಸ್ಥಾಪನೆ ಸೇವೆ API ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಹೆಚ್ಚುವರಿ ಅನುಮತಿಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಬದಲು APK ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸದ್ದಿಲ್ಲದೆ ಸ್ಥಾಪಿಸಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಅನುಮತಿಗಳನ್ನು ಬದಲಾಯಿಸಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುವ ಹಾರ್ಡ್ಕೋಡ್ ಮಾಡಿದ ಪಾಸ್ವರ್ಡ್.
- ಕೆಲವು OEM ಗಳಲ್ಲಿ ಜನಪ್ರಿಯವಾಗಿರುವ ಪರ್ಯಾಯ ಬ್ರೌಸರ್ನಲ್ಲಿ ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕ ಪ್ರತಿ ಪುಟದ ಸಂದರ್ಭದಲ್ಲಿ ಚಲಿಸುವ JavaScript ಕೋಡ್ ರೂಪದಲ್ಲಿ. ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸೈಟ್ ಬಳಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ ಸಂಗ್ರಹಣೆಗೆ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು, ಇದನ್ನು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ DES ಅಲ್ಗಾರಿದಮ್ ಮತ್ತು ಹಾರ್ಡ್-ಕೋಡೆಡ್ ಕೀ ಬಳಸಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ.
- Meizu ಸಾಧನಗಳಲ್ಲಿ ಸಿಸ್ಟಮ್ UI ಅಪ್ಲಿಕೇಶನ್ ಗೂಢಲಿಪೀಕರಣ ಮತ್ತು ಸಂಪರ್ಕ ಪರಿಶೀಲನೆ ಇಲ್ಲದೆ ನೆಟ್ವರ್ಕ್ನಿಂದ ಹೆಚ್ಚುವರಿ ಕೋಡ್. ಬಲಿಪಶುವಿನ HTTP ದಟ್ಟಣೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಮೂಲಕ, ಆಕ್ರಮಣಕಾರನು ಅಪ್ಲಿಕೇಶನ್ನ ಸಂದರ್ಭದಲ್ಲಿ ತನ್ನ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಬಹುದು.
- Vivo ಸಾಧನಗಳನ್ನು ಹೊಂದಿತ್ತು ಮ್ಯಾನಿಫೆಸ್ಟ್ ಫೈಲ್ನಲ್ಲಿ ಈ ಅನುಮತಿಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸದಿದ್ದರೂ ಸಹ, ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಹೆಚ್ಚುವರಿ ಅನುಮತಿಗಳನ್ನು ನೀಡಲು PackageManagerService ವರ್ಗದ ಚೆಕ್ಯುಐಡಿ ಅನುಮತಿ ವಿಧಾನ. ಒಂದು ಆವೃತ್ತಿಯಲ್ಲಿ, com.google.uid.shared ಗುರುತಿಸುವಿಕೆಯೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ವಿಧಾನವು ಯಾವುದೇ ಅನುಮತಿಗಳನ್ನು ನೀಡಿದೆ. ಮತ್ತೊಂದು ಆವೃತ್ತಿಯಲ್ಲಿ, ಅನುಮತಿಗಳನ್ನು ನೀಡಲು ಪಟ್ಟಿಯ ವಿರುದ್ಧ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru