Google a iniciativa , que planeja divulgar dados sobre vulnerabilidades em dispositivos Android de vários fabricantes OEM. A iniciativa tornará mais transparente aos usuários sobre vulnerabilidades específicas de firmware com modificações de fabricantes terceiros.
Até agora, os relatórios oficiais de vulnerabilidade (Boletins de Segurança do Android) refletiam apenas problemas no código principal oferecido no repositório AOSP, mas não levavam em consideração problemas específicos de modificações de OEMs. Já Os problemas afetam fabricantes como ZTE, Meizu, Vivo, OPPO, Digitime, Transsion e Huawei.
Entre os problemas identificados:
- Em dispositivos Digitime, em vez de verificar permissões adicionais para acessar a API do serviço de instalação de atualização OTA uma senha codificada que permite que um invasor instale silenciosamente pacotes APK e altere as permissões do aplicativo.
- Em um navegador alternativo popular entre alguns OEMs gerenciador de senhas na forma de código JavaScript executado no contexto de cada página. Um site controlado pelo invasor poderia obter acesso total ao armazenamento de senhas do usuário, que foi criptografado usando o algoritmo DES não confiável e uma chave codificada.
- Aplicativo System UI em dispositivos Meizu código adicional da rede sem criptografia e verificação de conexão. Ao monitorar o tráfego HTTP da vítima, o invasor poderia executar seu código no contexto da aplicação.
- Os dispositivos da Vivo tinham checkUidPermission da classe PackageManagerService para conceder permissões adicionais a alguns aplicativos, mesmo que essas permissões não sejam especificadas no arquivo de manifesto. Em uma versão, o método concedia permissões a aplicativos com o identificador com.google.uid.shared. Em outra versão, os nomes dos pacotes foram verificados em uma lista para conceder permissões.
Fonte: opennet.ru