Google
Өнөөг хүртэл албан ёсны эмзэг байдлын тайлангууд (Android Security Bulletins) нь зөвхөн AOSP репозиторт санал болгож буй үндсэн кодын асуудлуудыг тусгасан боловч OEM-ийн өөрчлөлттэй холбоотой асуудлыг авч үзээгүй болно. Аль хэдийн
Тодорхойлсон асуудлуудын дунд:
- Digitime төхөөрөмжүүдэд OTA шинэчлэлтийн суулгацын үйлчилгээний API-д хандах нэмэлт зөвшөөрлийг шалгахын оронд
ашигласан халдагчид APK багцуудыг чимээгүйхэн суулгаж, програмын зөвшөөрлийг өөрчлөх боломжийг олгодог хатуу кодлогдсон нууц үг. - Зарим OEM-д түгээмэл хэрэглэгддэг өөр хөтөч дээр
Phoenix нууц үгийн менежерхэрэгжсэн хуудас бүрийн контекст дээр ажилладаг JavaScript код хэлбэрээр. Халдагчийн удирддаг сайт нь найдваргүй DES алгоритм болон хатуу кодлогдсон түлхүүр ашиглан шифрлэгдсэн хэрэглэгчийн нууц үг хадгалах сан руу бүрэн нэвтрэх боломжтой. - Meizu төхөөрөмж дээрх системийн UI програм
ачаалагдсан Шифрлэлт болон холболтын баталгаажуулалтгүйгээр сүлжээнээс нэмэлт код. Хохирогчийн HTTP траффикийг хянаснаар халдагч програмын контекст дээр өөрийн кодыг ажиллуулж болно. - Vivo төхөөрөмжүүд байсан
дахин хийсэн PackageManagerService ангийн checkUidPermission арга нь манифест файлд эдгээр зөвшөөрлийг заагаагүй байсан ч зарим програмд нэмэлт зөвшөөрөл олгох. Нэг хувилбарт энэ арга нь com.google.uid.shared танигчтай аппликешнүүдэд аливаа зөвшөөрлийг олгосон. Өөр хувилбарт багцын нэрийг зөвшөөрөл олгохын тулд жагсаалтаас шалгасан.
Эх сурвалж: opennet.ru