Google бар демилге , ар кандай OEM өндүрүүчүлөрдүн Android түзмөктөрүнүн чабалдыгы жөнүндө маалыматтарды ачыкка чыгарууну пландаштырууда. Демилге колдонуучулар үчүн үчүнчү тараптын өндүрүүчүлөрүнүн модификациялары менен микропрограммага мүнөздүү алсыздыктар жөнүндө ачык-айкын кылат.
Ушул убакка чейин расмий аялуу отчеттору (Android коопсуздук бюллетендери) AOSP репозиторийинде сунушталган негизги коддогу көйгөйлөрдү гана чагылдырып келген, бирок OEM'дердин модификацияларына тиешелүү маселелерди эске алган эмес. Уже Көйгөйлөр ZTE, Meizu, Vivo, OPPO, Digitime, Transsion жана Huawei сыяктуу өндүрүүчүлөргө таасирин тийгизет.
Белгиленген көйгөйлөрдүн арасында:
- Digitime түзмөктөрүндө, OTA жаңыртуу орнотуу кызматынын API'сине кирүү үчүн кошумча уруксаттарды текшерүүнүн ордуна чабуулчуга APK топтомдорун акырын орнотууга жана колдонмонун уруксаттарын өзгөртүүгө мүмкүндүк берген катуу коддолгон сырсөз.
- Кээ бир OEMлер менен популярдуу альтернатива браузерде сырсөз менеджери ар бир барактын контекстинде иштеген JavaScript коду түрүндө. Чабуулчу тарабынан башкарылган сайт ишенимсиз DES алгоритми жана катуу коддолгон ачкыч аркылуу шифрленген колдонуучунун сырсөз сактагычына толук кире алат.
- Meizu түзмөктөрүндөгү тутумдук UI колдонмосу шифрлөөсүз жана байланышты текшерүүсүз тармактан кошумча код. Жабырлануучунун HTTP трафигин көзөмөлдөө менен, чабуулчу өзүнүн кодун колдонмонун контекстинде иштете алат.
- Vivo түзмөктөрү бар болчу PackageManagerService классынын checkUidPermission ыкмасы кээ бир колдонмолорго кошумча уруксаттарды берүү үчүн, бул уруксаттар манифест файлында көрсөтүлбөсө дагы. Бир версияда бул ыкма com.google.uid.shared идентификатору бар колдонмолорго бардык уруксаттарды берген. Башка версияда пакеттердин аталыштары уруксаттарды берүү үчүн тизме менен текшерилген.
Source: opennet.ru