Google အစပျိုးမှု OEM ထုတ်လုပ်သူ အမျိုးမျိုးမှ Android စက်များတွင် အားနည်းချက်များဆိုင်ရာ အချက်အလက်များကို ထုတ်ဖော်ရန် စီစဉ်ထားသည်။ အဆိုပါလုပ်ဆောင်ချက်သည် ပြင်ပကုမ္ပဏီထုတ်လုပ်သူများထံမှ ပြုပြင်မွမ်းမံမှုများဖြင့် Firmware နှင့်သက်ဆိုင်သော အားနည်းချက်များအကြောင်း သုံးစွဲသူများအား ပိုမိုပွင့်လင်းမြင်သာစေသည်။
ယခုအချိန်အထိ တရားဝင်အားနည်းချက်အစီရင်ခံချက်များ (Android Security Bulletins) သည် AOSP သိုလှောင်မှုတွင် ကမ်းလှမ်းထားသော core code တွင် ပြဿနာများကိုသာ ထင်ဟပ်ပြသထားသော်လည်း OEMs မှ ပြုပြင်မွမ်းမံမှုများအတွက် သီးခြားပြဿနာများကို ထည့်သွင်းစဉ်းစားခြင်းမရှိသေးပါ။ ပြီးပြီ။ ပြဿနာများသည် ZTE၊ Meizu၊ Vivo၊ OPPO၊ Digitime၊ Transsion နှင့် Huawei ကဲ့သို့သော ထုတ်လုပ်သူများအပေါ် သက်ရောက်မှုရှိသည်။
ဖော်ထုတ်ထားသော ပြဿနာများထဲတွင်-
- Digitime စက်ပစ္စည်းများတွင် OTA အပ်ဒိတ်တပ်ဆင်ခြင်းဝန်ဆောင်မှု API ကိုဝင်ရောက်ကြည့်ရှုရန် နောက်ထပ်ခွင့်ပြုချက်များကို စစ်ဆေးမည့်အစား တိုက်ခိုက်သူတစ်ဦးအား APK ပက်ကေ့ဂျ်များကို တိတ်တဆိတ်ထည့်သွင်းရန်နှင့် အပလီကေးရှင်းခွင့်ပြုချက်များကို ပြောင်းလဲရန် ခွင့်ပြုသည့် hardcoded စကားဝှက်။
- အချို့သော OEMs များကြားတွင် ရေပန်းစားသော အခြားဘရောင်ဇာတစ်ခုတွင် စကားဝှက်မန်နေဂျာ စာမျက်နှာတစ်ခုစီ၏ အကြောင်းအရာတွင် အလုပ်လုပ်သော JavaScript ကုဒ်ပုံစံဖြစ်သည်။ တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော ဆိုက်တစ်ခုသည် ယုံကြည်စိတ်ချရသော DES algorithm နှင့် hard-coded သော့ကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသည့် အသုံးပြုသူ၏ စကားဝှက်သိုလှောင်မှုသို့ အပြည့်အဝဝင်ရောက်ခွင့် ရရှိနိုင်သည်။
- Meizu စက်ပစ္စည်းများတွင် စနစ် UI အက်ပ် ကုဒ်ဝှက်ခြင်းနှင့် ချိတ်ဆက်မှု အတည်ပြုခြင်းမရှိဘဲ ကွန်ရက်မှ အပိုကုဒ်။ အကြမ်းဖက်ခံရသူ၏ HTTP အသွားအလာကို စောင့်ကြည့်ခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် အပလီကေးရှင်း၏ ဆက်စပ်နေရာတွင် ၎င်း၏ကုဒ်ကို လုပ်ဆောင်နိုင်သည်။
- Vivo Device တွေရှိခဲ့ပါတယ်။ ဤခွင့်ပြုချက်များကို မန်နီးဖက်စ်ဖိုင်တွင် မဖော်ပြထားသော်လည်း အချို့သောအပလီကေးရှင်းများသို့ ထပ်လောင်းခွင့်ပြုချက်များကိုပေးရန် PackageManagerService အတန်း၏ checkUidPermission နည်းလမ်း။ ဗားရှင်းတစ်ခုတွင်၊ နည်းလမ်းသည် identifier com.google.uid.shared ဖြင့် အပလီကေးရှင်းများသို့ ခွင့်ပြုချက်တစ်စုံတစ်ရာကို ပေးထားသည်။ အခြားဗားရှင်းတွင်၊ ခွင့်ပြုချက်ပေးရန်အတွက် ပက်ကေ့ဂျ်အမည်များကို စစ်ဆေးထားသည်။
source: opennet.ru