Google ujawni luki w zabezpieczeniach urządzeń z Androidem innych firm
Google представила inicjatywa Luka w zabezpieczeniach partnera Androida, która planuje ujawniać dane na temat podatności w urządzeniach z systemem Android pochodzących od różnych producentów OEM. Dzięki tej inicjatywie użytkownicy będą bardziej przejrzyści informowani o lukach w zabezpieczeniach oprogramowania sprzętowego z modyfikacjami pochodzącymi od zewnętrznych producentów.
Do tej pory oficjalne raporty o podatnościach (biuletyny zabezpieczeń Androida) odzwierciedlały jedynie problemy w kodzie podstawowym oferowanym w repozytorium AOSP, ale nie uwzględniały problemów specyficznych dla modyfikacji wprowadzanych przez producentów OEM. Już ujawnił Problemy dotykają takich producentów jak ZTE, Meizu, Vivo, OPPO, Digitime, Transsion i Huawei.
Wśród zidentyfikowanych problemów:
Na urządzeniach Digitime zamiast sprawdzać dodatkowe uprawnienia dostępu do API usługi instalacji aktualizacji OTA wykorzystano zakodowane na stałe hasło, które umożliwia atakującemu dyskretną instalację pakietów APK i zmianę uprawnień aplikacji.
W alternatywnej przeglądarce popularnej wśród niektórych producentów OEM feniks menedżer haseł został wdrożony w postaci kodu JavaScript uruchamianego w kontekście każdej strony. Witryna kontrolowana przez atakującego mogła uzyskać pełny dostęp do magazynu haseł użytkownika, który został zaszyfrowany przy użyciu zawodnego algorytmu DES i zakodowanego na stałe klucza.
Aplikacja System UI na urządzeniach Meizu załadowany dodatkowy kod z sieci bez szyfrowania i weryfikacji połączenia. Monitorując ruch HTTP ofiary, osoba atakująca może uruchomić swój kod w kontekście aplikacji.
Urządzenia Vivo miały przerobione checkUidPermission klasy PackageManagerService w celu nadania niektórym aplikacjom dodatkowych uprawnień, nawet jeśli te uprawnienia nie są określone w pliku manifestu. W jednej wersji metoda nadawała dowolne uprawnienia aplikacjom o identyfikatorze com.google.uid.shared. W innej wersji nazwy pakietów sprawdzano na liście w celu przyznania uprawnień.