Google het initiatief , dat van plan is gegevens vrij te geven over kwetsbaarheden in Android-apparaten van verschillende OEM-fabrikanten. Het initiatief zal het voor gebruikers transparanter maken over kwetsbaarheden die specifiek zijn voor firmware met wijzigingen van externe fabrikanten.
Tot nu toe hebben officiële kwetsbaarheidsrapporten (Android Security Bulletins) alleen problemen weerspiegeld in de kerncode die wordt aangeboden in de AOSP-repository, maar is er geen rekening gehouden met problemen die specifiek zijn voor wijzigingen van OEM's. Al De problemen treffen fabrikanten als ZTE, Meizu, Vivo, OPPO, Digitime, Transsion en Huawei.
Onder de geïdentificeerde problemen:
- Op Digitime-apparaten, in plaats van het controleren van extra machtigingen voor toegang tot de OTA-update-installatieservice-API een hardgecodeerd wachtwoord waarmee een aanvaller stilletjes APK-pakketten kan installeren en applicatierechten kan wijzigen.
- In een alternatieve browser die populair is bij sommige OEM's wachtwoordbeheerder in de vorm van JavaScript-code die in de context van elke pagina wordt uitgevoerd. Een site die door de aanvaller wordt beheerd, kan volledige toegang krijgen tot de wachtwoordopslag van de gebruiker, die is gecodeerd met behulp van het onbetrouwbare DES-algoritme en een hardgecodeerde sleutel.
- Systeem UI-applicatie op Meizu-apparaten extra code van het netwerk zonder codering en verbindingsverificatie. Door het HTTP-verkeer van het slachtoffer te monitoren, kon de aanvaller zijn code in de context van de applicatie uitvoeren.
- Vivo-apparaten hadden checkUidPermission-methode van de PackageManagerService-klasse om aanvullende machtigingen te verlenen aan sommige toepassingen, zelfs als deze machtigingen niet zijn opgegeven in het manifestbestand. In één versie verleende de methode alle rechten aan applicaties met de ID com.google.uid.shared. In een andere versie werden pakketnamen gecontroleerd aan de hand van een lijst om machtigingen te verlenen.
Bron: opennet.ru