Google initiativ , som planerar att avslöja data om sårbarheter i Android-enheter från olika OEM-tillverkare. Initiativet kommer att göra det mer transparent för användare om sårbarheter som är specifika för firmware med modifieringar från tredjepartstillverkare.
Hittills har officiella sårbarhetsrapporter (Android Security Bulletins) endast återspeglat problem i kärnkoden som erbjuds i AOSP-förvaret, men har inte tagit hänsyn till problem som är specifika för ändringar från OEM-tillverkare. Redan Problemen drabbar tillverkare som ZTE, Meizu, Vivo, OPPO, Digitime, Transsion och Huawei.
Bland de identifierade problemen:
- I Digitime-enheter, istället för att kontrollera ytterligare behörigheter för att komma åt OTA-uppdateringsinstallationstjänstens API ett hårdkodat lösenord som gör det möjligt för en angripare att tyst installera APK-paket och ändra applikationsbehörigheter.
- I en alternativ webbläsare som är populär hos vissa OEM-tillverkare lösenordshanteraren i form av JavaScript-kod som körs i varje sidas sammanhang. En webbplats som kontrolleras av angriparen kunde få full tillgång till användarens lösenordslagring, som krypterats med den opålitliga DES-algoritmen och en hårdkodad nyckel.
- System UI-applikation på Meizu-enheter ytterligare kod från nätverket utan kryptering och anslutningsverifiering. Genom att övervaka offrets HTTP-trafik kunde angriparen köra sin kod i applikationens sammanhang.
- Vivo-enheter hade checkUidPermission-metoden för klassen PackageManagerService för att ge ytterligare behörigheter till vissa applikationer, även om dessa behörigheter inte anges i manifestfilen. I en version gav metoden alla behörigheter till applikationer med identifieraren com.google.uid.shared. I en annan version kontrollerades paketnamn mot en lista för att ge behörigheter.
Källa: opennet.ru