Google inicjatywa , która planuje ujawniać dane na temat podatności w urządzeniach z systemem Android pochodzących od różnych producentów OEM. Dzięki tej inicjatywie użytkownicy będą bardziej przejrzyści informowani o lukach w zabezpieczeniach oprogramowania sprzętowego z modyfikacjami pochodzącymi od zewnętrznych producentów.
Do tej pory oficjalne raporty o podatnościach (biuletyny zabezpieczeń Androida) odzwierciedlały jedynie problemy w kodzie podstawowym oferowanym w repozytorium AOSP, ale nie uwzględniały problemów specyficznych dla modyfikacji wprowadzanych przez producentów OEM. Już Problemy dotykają takich producentów jak ZTE, Meizu, Vivo, OPPO, Digitime, Transsion i Huawei.
Wśród zidentyfikowanych problemów:
- Na urządzeniach Digitime zamiast sprawdzać dodatkowe uprawnienia dostępu do API usługi instalacji aktualizacji OTA zakodowane na stałe hasło, które umożliwia atakującemu dyskretną instalację pakietów APK i zmianę uprawnień aplikacji.
- W alternatywnej przeglądarce popularnej wśród niektórych producentów OEM menedżer haseł w postaci kodu JavaScript uruchamianego w kontekście każdej strony. Witryna kontrolowana przez atakującego mogła uzyskać pełny dostęp do magazynu haseł użytkownika, który został zaszyfrowany przy użyciu zawodnego algorytmu DES i zakodowanego na stałe klucza.
- Aplikacja System UI na urządzeniach Meizu dodatkowy kod z sieci bez szyfrowania i weryfikacji połączenia. Monitorując ruch HTTP ofiary, osoba atakująca może uruchomić swój kod w kontekście aplikacji.
- Urządzenia Vivo miały checkUidPermission klasy PackageManagerService w celu nadania niektórym aplikacjom dodatkowych uprawnień, nawet jeśli te uprawnienia nie są określone w pliku manifestu. W jednej wersji metoda nadawała dowolne uprawnienia aplikacjom o identyfikatorze com.google.uid.shared. W innej wersji nazwy pakietów sprawdzano na liście w celu przyznania uprawnień.
Źródło: opennet.ru