Google kommer att avslöja sårbarheter i tredje parts Android-enheter
Google представила initiativ Sårbarhet för Android-partner, som planerar att avslöja data om sårbarheter i Android-enheter från olika OEM-tillverkare. Initiativet kommer att göra det mer transparent för användare om sårbarheter som är specifika för firmware med modifieringar från tredjepartstillverkare.
Hittills har officiella sårbarhetsrapporter (Android Security Bulletins) endast återspeglat problem i kärnkoden som erbjuds i AOSP-förvaret, men har inte tagit hänsyn till problem som är specifika för ändringar från OEM-tillverkare. Redan avslöjat Problemen drabbar tillverkare som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion och Huawei.
Bland de identifierade problemen:
I Digitime-enheter, istället för att kontrollera ytterligare behörigheter för att komma åt OTA-uppdateringsinstallationstjänstens API var använd ett hårdkodat lösenord som gör det möjligt för en angripare att tyst installera APK-paket och ändra applikationsbehörigheter.
I en alternativ webbläsare som är populär hos vissa OEM-tillverkare Phoenix lösenordshanteraren genomfördes i form av JavaScript-kod som körs i varje sidas sammanhang. En webbplats som kontrolleras av angriparen kunde få full tillgång till användarens lösenordslagring, som krypterats med den opålitliga DES-algoritmen och en hårdkodad nyckel.
System UI-applikation på Meizu-enheter lastad ytterligare kod från nätverket utan kryptering och anslutningsverifiering. Genom att övervaka offrets HTTP-trafik kunde angriparen köra sin kod i applikationens sammanhang.
Vivo-enheter hade gjort om checkUidPermission-metoden för klassen PackageManagerService för att ge ytterligare behörigheter till vissa applikationer, även om dessa behörigheter inte anges i manifestfilen. I en version gav metoden alla behörigheter till applikationer med identifieraren com.google.uid.shared. I en annan version kontrollerades paketnamn mot en lista för att ge behörigheter.