گوگل شروعات ، جيڪو مختلف OEM ٺاهيندڙن کان Android ڊوائيسز ۾ خطرن تي ڊيٽا کي ظاهر ڪرڻ جو ارادو رکي ٿو. شروعات ان کي وڌيڪ شفاف بڻائي سگهندي صارفين لاءِ ڪمزورين جي باري ۾ مخصوص فرم ویئر لاءِ ٽئين پارٽي ٺاهيندڙن جي تبديلين سان.
هينئر تائين، سرڪاري خطراتي رپورٽون (Android سيڪيورٽي بليٽنس) صرف AOSP مخزن ۾ پيش ڪيل بنيادي ڪوڊ ۾ مسئلن کي ظاهر ڪيو آهي، پر OEMs کان تبديلين لاءِ مخصوص مسئلن تي ڌيان نه ڏنو آهي. اڳي ئي مسئلا ٺاهيندڙن کي متاثر ڪن ٿا جهڙوڪ ZTE، Meizu، Vivo، OPPO، Digitime، Transsion ۽ Huawei.
سڃاڻپ ٿيل مسئلن جي وچ ۾:
- Digitime ڊوائيسز ۾، OTA اپڊيٽ انسٽاليشن سروس API تائين رسائي حاصل ڪرڻ لاء اضافي اجازتون چيڪ ڪرڻ بدران هڪ هارڊ ڪوڊ ٿيل پاسورڊ جيڪو هڪ حملي آور کي خاموشيءَ سان APK پيڪيجز کي انسٽال ڪرڻ ۽ ايپليڪيشن جي اجازتن کي تبديل ڪرڻ جي اجازت ڏئي ٿو.
- هڪ متبادل برائوزر ۾ ڪجهه OEMs سان مشهور آهي پاسورڊ مينيجر JavaScript ڪوڊ جي صورت ۾ جيڪو هر صفحي جي حوالي سان هلندو آهي. حملي ڪندڙ طرفان ڪنٽرول ڪيل سائيٽ صارف جي پاسورڊ اسٽوريج تائين مڪمل رسائي حاصل ڪري سگهي ٿي، جيڪا ناقابل اعتبار DES الورورٿم ۽ هڪ هارڊ ڪوڊ ٿيل ڪيچ استعمال ڪندي انڪرپٽ ڪئي وئي هئي.
- سسٽم UI ايپليڪيشن Meizu ڊوائيسز تي نيٽ ورڪ کان اضافي ڪوڊ بغير انڪرپشن ۽ ڪنيڪشن جي تصديق جي. قرباني جي HTTP ٽرئفڪ جي نگراني ڪندي، حملو ڪندڙ پنهنجي ڪوڊ کي ايپليڪيشن جي حوالي سان هلائي سگهي ٿو.
- Vivo ڊوائيسز هئا checkUidPermission جو طريقو PackageManagerService ڪلاس جو ڪجھ ايپليڪيشنن کي اضافي اجازتون ڏيڻ لاءِ، جيتوڻيڪ اھي اجازتون پڌري فائل ۾ بيان ٿيل نه آھن. ھڪڙي ورزن ۾، طريقي سان com.google.uid.shared جي سڃاڻپ ڪندڙ ايپليڪيشنن کي ڪا به اجازت ڏني وئي. ٻئي ورزن ۾، پيڪيج جا نالا هڪ فهرست جي خلاف چيڪ ڪيا ويا اجازتون ڏيڻ لاءِ.
جو ذريعو: opennet.ru