Google vil avsløre sårbarheter i tredjeparts Android-enheter
Google presentert initiativet Android-partnersårbarhet, som planlegger å avsløre data om sårbarheter i Android-enheter fra ulike OEM-produsenter. Initiativet vil gjøre det mer oversiktlig for brukere om sårbarheter som er spesifikke for fastvare med modifikasjoner fra tredjepartsprodusenter.
Til nå har offisielle sårbarhetsrapporter (Android Security Bulletins) bare reflektert problemer i kjernekoden som tilbys i AOSP-depotet, men har ikke tatt hensyn til problemer som er spesifikke for modifikasjoner fra OEM-er. Allerede avslørt Problemene rammer produsenter som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion og Huawei.
Blant de identifiserte problemene:
I Digitime-enheter, i stedet for å sjekke ytterligere tillatelser for å få tilgang til OTA-oppdateringsinstallasjonstjenestens API var brukt et hardkodet passord som lar en angriper stille installering av APK-pakker og endre programtillatelser.
I en alternativ nettleser populær blant noen OEM-er Føniks passordbehandler ble implementert i form av JavaScript-kode som kjører i konteksten til hver side. Et nettsted kontrollert av angriperen kunne få full tilgang til brukerens passordlagring, som ble kryptert ved hjelp av den upålitelige DES-algoritmen og en hardkodet nøkkel.
System UI-applikasjon på Meizu-enheter lastet tilleggskode fra nettverket uten kryptering og tilkoblingsverifisering. Ved å overvåke offerets HTTP-trafikk, kunne angriperen kjøre koden sin i sammenheng med applikasjonen.
Vivo-enheter hadde gjort om checkUidPermission-metoden for PackageManagerService-klassen for å gi ytterligere tillatelser til noen applikasjoner, selv om disse tillatelsene ikke er spesifisert i manifestfilen. I én versjon ga metoden alle tillatelser til applikasjoner med identifikatoren com.google.uid.shared. I en annen versjon ble pakkenavn sjekket mot en liste for å gi tillatelser.