Google iniciatíva , ktorá plánuje zverejniť údaje o zraniteľnostiach zariadení s Androidom od rôznych výrobcov OEM. Táto iniciatíva umožní používateľom sprehľadniť zraniteľné miesta špecifické pre firmvér s úpravami od výrobcov tretích strán.
Doteraz oficiálne správy o zraniteľnosti (Android Security Bulletiny) odzrkadľovali iba problémy v základnom kóde ponúkanom v úložisku AOSP, ale nezohľadňovali problémy špecifické pre úpravy od výrobcov OEM. Už Problémy sa týkajú výrobcov ako ZTE, Meizu, Vivo, OPPO, Digitime, Transsion a Huawei.
Medzi identifikovanými problémami:
- V zariadeniach Digitime namiesto kontroly dodatočných povolení na prístup k API inštalačnej služby OTA aktualizácie napevno zakódované heslo, ktoré umožňuje útočníkovi potichu nainštalovať balíčky APK a zmeniť povolenia aplikácie.
- V alternatívnom prehliadači obľúbenom u niektorých výrobcov OEM správca hesiel vo forme kódu JavaScript, ktorý beží v kontexte každej stránky. Stránka kontrolovaná útočníkom by mohla získať úplný prístup k úložisku hesiel používateľa, ktoré bolo zašifrované pomocou nespoľahlivého algoritmu DES a pevne zakódovaného kľúča.
- Aplikácia systémového používateľského rozhrania na zariadeniach Meizu dodatočný kód zo siete bez šifrovania a overovania pripojenia. Monitorovaním HTTP prevádzky obete by útočník mohol spustiť svoj kód v kontexte aplikácie.
- Zariadenia Vivo mali metóda checkUidPermission triedy PackageManagerService na udelenie ďalších povolení niektorým aplikáciám, aj keď tieto povolenia nie sú špecifikované v súbore manifestu. V jednej verzii metóda udeľovala akékoľvek povolenia aplikáciám s identifikátorom com.google.uid.shared. V inej verzii boli názvy balíkov porovnané so zoznamom na udelenie povolení.
Zdroj: opennet.ru