Google initiativ , som planlegger å offentliggjøre informasjon om sårbarheter i Android-enheter fra ulike OEM-produsenter. Initiativet vil gjøre det mer transparent for brukere å offentliggjøre informasjon om sårbarheter spesifikt for fastvare med modifikasjoner fra tredjepartsprodusenter.
Frem til nå har de offisielle sårbarhetsrapportene (Android Security Bulletins) bare reflektert problemer i kjernekoden som tilbys i AOSP-repositoriet, men har ikke tatt hensyn til problemer spesifikke for modifikasjoner fra OEM-er. Problemene rammer produsenter som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion og Huawei.
Blant problemene som ble identifisert:
- I Digitime-enheter, i stedet for å sjekke ytterligere tillatelser for å få tilgang til API-et til OTA-oppdateringsinstallasjonstjenesten, et hardkodet passord som lar en angriper stille installere APK-pakker og endre applikasjonens tilgangsrettigheter.
- I en alternativ nettleser som er populær blant noen OEM-er passordbehandler i form av JavaScript-kode som kjører i konteksten til hver side. Angriperens nettsted kunne få full tilgang til brukerens passordlagring, som var kryptert ved hjelp av den svake DES-algoritmen og en hardkodet nøkkel.
- System UI-app på Meizu-enheter tilleggskode fra nettverket uten kryptering og tilkoblingsverifisering. Ved å overvåke offerets HTTP-trafikk kunne angriperen kjøre koden sin i applikasjonens kontekst.
- Vivo-enheter hadde checkUidPermission-metoden i PackageManagerService-klassen for å gi ytterligere tillatelser til noen applikasjoner, selv om disse tillatelsene ikke er spesifisert i manifestfilen. I én versjon ga metoden tillatelser til applikasjoner med identifikatoren com.google.uid.shared. I en annen versjon ble tillatelsene kontrollert mot en liste over pakkenavn.
Kilde: opennet.ru
