Google
ယခုအချိန်အထိ တရားဝင်အားနည်းချက်အစီရင်ခံချက်များ (Android Security Bulletins) သည် AOSP သိုလှောင်မှုတွင် ကမ်းလှမ်းထားသော core code တွင် ပြဿနာများကိုသာ ထင်ဟပ်ပြသထားသော်လည်း OEMs မှ ပြုပြင်မွမ်းမံမှုများအတွက် သီးခြားပြဿနာများကို ထည့်သွင်းစဉ်းစားခြင်းမရှိသေးပါ။ ပြီးပြီ။
ဖော်ထုတ်ထားသော ပြဿနာများထဲတွင်-
- Digitime စက်ပစ္စည်းများတွင် OTA အပ်ဒိတ်တပ်ဆင်ခြင်းဝန်ဆောင်မှု API ကိုဝင်ရောက်ကြည့်ရှုရန် နောက်ထပ်ခွင့်ပြုချက်များကို စစ်ဆေးမည့်အစား
အသုံးပြုခဲ့သည်။ တိုက်ခိုက်သူတစ်ဦးအား APK ပက်ကေ့ဂျ်များကို တိတ်တဆိတ်ထည့်သွင်းရန်နှင့် အပလီကေးရှင်းခွင့်ပြုချက်များကို ပြောင်းလဲရန် ခွင့်ပြုသည့် hardcoded စကားဝှက်။ - အချို့သော OEMs များကြားတွင် ရေပန်းစားသော အခြားဘရောင်ဇာတစ်ခုတွင်
Phoenix စကားဝှက်မန်နေဂျာအကောင်အထည်ဖော်ခဲ့သည်။ စာမျက်နှာတစ်ခုစီ၏ အကြောင်းအရာတွင် အလုပ်လုပ်သော JavaScript ကုဒ်ပုံစံဖြစ်သည်။ တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော ဆိုက်တစ်ခုသည် ယုံကြည်စိတ်ချရသော DES algorithm နှင့် hard-coded သော့ကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသည့် အသုံးပြုသူ၏ စကားဝှက်သိုလှောင်မှုသို့ အပြည့်အဝဝင်ရောက်ခွင့် ရရှိနိုင်သည်။ - Meizu စက်ပစ္စည်းများတွင် စနစ် UI အက်ပ်
တင်ထားသည်။ ကုဒ်ဝှက်ခြင်းနှင့် ချိတ်ဆက်မှု အတည်ပြုခြင်းမရှိဘဲ ကွန်ရက်မှ အပိုကုဒ်။ အကြမ်းဖက်ခံရသူ၏ HTTP အသွားအလာကို စောင့်ကြည့်ခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် အပလီကေးရှင်း၏ ဆက်စပ်နေရာတွင် ၎င်း၏ကုဒ်ကို လုပ်ဆောင်နိုင်သည်။ - Vivo Device တွေရှိခဲ့ပါတယ်။
ပြန်လုပ် ဤခွင့်ပြုချက်များကို မန်နီးဖက်စ်ဖိုင်တွင် မဖော်ပြထားသော်လည်း အချို့သောအပလီကေးရှင်းများသို့ ထပ်လောင်းခွင့်ပြုချက်များကိုပေးရန် PackageManagerService အတန်း၏ checkUidPermission နည်းလမ်း။ ဗားရှင်းတစ်ခုတွင်၊ နည်းလမ်းသည် identifier com.google.uid.shared ဖြင့် အပလီကေးရှင်းများသို့ ခွင့်ပြုချက်တစ်စုံတစ်ရာကို ပေးထားသည်။ အခြားဗားရှင်းတွင်၊ ခွင့်ပြုချက်ပေးရန်အတွက် ပက်ကေ့ဂျ်အမည်များကို စစ်ဆေးထားသည်။
source: opennet.ru