Google inisiatif , yang merancang untuk mendedahkan data tentang kelemahan dalam peranti Android daripada pelbagai pengeluar OEM. Inisiatif ini akan menjadikannya lebih telus kepada pengguna tentang kelemahan khusus untuk perisian tegar dengan pengubahsuaian daripada pengeluar pihak ketiga.
Sehingga kini, laporan kerentanan rasmi (Buletin Keselamatan Android) hanya mencerminkan isu dalam kod teras yang ditawarkan dalam repositori AOSP, tetapi tidak mengambil kira isu khusus untuk pengubahsuaian daripada OEM. Sudah Masalah itu menjejaskan pengeluar seperti ZTE, Meizu, Vivo, OPPO, Digitime, Transsion dan Huawei.
Antara masalah yang dikenal pasti:
- Dalam peranti Digitime, bukannya menyemak kebenaran tambahan untuk mengakses API perkhidmatan pemasangan kemas kini OTA kata laluan berkod keras yang membolehkan penyerang memasang pakej APK secara senyap dan menukar kebenaran aplikasi.
- Dalam penyemak imbas alternatif yang popular dengan sesetengah OEM pengurus kata laluan dalam bentuk kod JavaScript yang berjalan dalam konteks setiap halaman. Tapak yang dikawal oleh penyerang boleh mendapat akses penuh kepada storan kata laluan pengguna, yang disulitkan menggunakan algoritma DES yang tidak boleh dipercayai dan kunci berkod keras.
- Aplikasi UI sistem pada peranti Meizu kod tambahan daripada rangkaian tanpa penyulitan dan pengesahan sambungan. Dengan memantau trafik HTTP mangsa, penyerang boleh menjalankan kodnya dalam konteks aplikasi.
- Peranti Vivo mempunyai kaedah checkUidPermission kelas PackageManagerService untuk memberikan kebenaran tambahan kepada beberapa aplikasi, walaupun kebenaran ini tidak dinyatakan dalam fail manifes. Dalam satu versi, kaedah ini memberikan sebarang kebenaran kepada aplikasi dengan pengecam com.google.uid.shared. Dalam versi lain, nama pakej telah disemak pada senarai untuk memberikan kebenaran.
Sumber: opennet.ru