Google initiativet , som planlegger å avsløre data om sårbarheter i Android-enheter fra ulike OEM-produsenter. Initiativet vil gjøre det mer oversiktlig for brukere om sårbarheter som er spesifikke for fastvare med modifikasjoner fra tredjepartsprodusenter.
Til nå har offisielle sårbarhetsrapporter (Android Security Bulletins) bare reflektert problemer i kjernekoden som tilbys i AOSP-depotet, men har ikke tatt hensyn til problemer som er spesifikke for modifikasjoner fra OEM-er. Allerede Problemene rammer produsenter som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion og Huawei.
Blant de identifiserte problemene:
- I Digitime-enheter, i stedet for å sjekke ytterligere tillatelser for å få tilgang til OTA-oppdateringsinstallasjonstjenestens API et hardkodet passord som lar en angriper stille installering av APK-pakker og endre programtillatelser.
- I en alternativ nettleser populær blant noen OEM-er passordbehandler i form av JavaScript-kode som kjører i konteksten til hver side. Et nettsted kontrollert av angriperen kunne få full tilgang til brukerens passordlagring, som ble kryptert ved hjelp av den upålitelige DES-algoritmen og en hardkodet nøkkel.
- System UI-applikasjon på Meizu-enheter tilleggskode fra nettverket uten kryptering og tilkoblingsverifisering. Ved å overvåke offerets HTTP-trafikk, kunne angriperen kjøre koden sin i sammenheng med applikasjonen.
- Vivo-enheter hadde checkUidPermission-metoden for PackageManagerService-klassen for å gi ytterligere tillatelser til noen applikasjoner, selv om disse tillatelsene ikke er spesifisert i manifestfilen. I én versjon ga metoden alle tillatelser til applikasjoner med identifikatoren com.google.uid.shared. I en annen versjon ble pakkenavn sjekket mot en liste for å gi tillatelser.
Kilde: opennet.ru