Google санаачлага , янз бүрийн OEM үйлдвэрлэгчдийн Android төхөөрөмжүүдийн эмзэг байдлын талаарх мэдээллийг задруулахаар төлөвлөж байна. Энэхүү санаачилга нь гуравдагч талын үйлдвэрлэгчдийн хийсэн өөрчлөлт бүхий програм хангамжид хамаарах эмзэг байдлын талаар хэрэглэгчдэд илүү ил тод болгох болно.
Өнөөг хүртэл албан ёсны эмзэг байдлын тайлангууд (Android Security Bulletins) нь зөвхөн AOSP репозиторт санал болгож буй үндсэн кодын асуудлуудыг тусгасан боловч OEM-ийн өөрчлөлттэй холбоотой асуудлыг авч үзээгүй болно. Аль хэдийн Асуудал нь ZTE, Meizu, Vivo, OPPO, Digitime, Transsion, Huawei зэрэг үйлдвэрлэгчдэд нөлөөлж байна.
Тодорхойлсон асуудлуудын дунд:
- Digitime төхөөрөмжүүдэд OTA шинэчлэлтийн суулгацын үйлчилгээний API-д хандах нэмэлт зөвшөөрлийг шалгахын оронд халдагчид APK багцуудыг чимээгүйхэн суулгаж, програмын зөвшөөрлийг өөрчлөх боломжийг олгодог хатуу кодлогдсон нууц үг.
- Зарим OEM-д түгээмэл хэрэглэгддэг өөр хөтөч дээр нууц үгийн менежер хуудас бүрийн контекст дээр ажилладаг JavaScript код хэлбэрээр. Халдагчийн удирддаг сайт нь найдваргүй DES алгоритм болон хатуу кодлогдсон түлхүүр ашиглан шифрлэгдсэн хэрэглэгчийн нууц үг хадгалах сан руу бүрэн нэвтрэх боломжтой.
- Meizu төхөөрөмж дээрх системийн UI програм Шифрлэлт болон холболтын баталгаажуулалтгүйгээр сүлжээнээс нэмэлт код. Хохирогчийн HTTP траффикийг хянаснаар халдагч програмын контекст дээр өөрийн кодыг ажиллуулж болно.
- Vivo төхөөрөмжүүд байсан PackageManagerService ангийн checkUidPermission арга нь манифест файлд эдгээр зөвшөөрлийг заагаагүй байсан ч зарим програмд нэмэлт зөвшөөрөл олгох. Нэг хувилбарт энэ арга нь com.google.uid.shared танигчтай аппликешнүүдэд аливаа зөвшөөрлийг олгосон. Өөр хувилбарт багцын нэрийг зөвшөөрөл олгохын тулд жагсаалтаас шалгасан.
Эх сурвалж: opennet.ru