கூகிள் முயற்சி , இது பல்வேறு OEM உற்பத்தியாளர்களிடமிருந்து ஆண்ட்ராய்டு சாதனங்களில் உள்ள பாதிப்புகள் குறித்த தரவை வெளியிட திட்டமிட்டுள்ளது. மூன்றாம் தரப்பு உற்பத்தியாளர்களின் மாற்றங்களுடன் ஃபார்ம்வேருக்கு குறிப்பிட்ட பாதிப்புகள் குறித்து பயனர்களுக்கு இந்த முயற்சி மிகவும் வெளிப்படையானதாக மாற்றும்.
இப்போது வரை, அதிகாரப்பூர்வ பாதிப்பு அறிக்கைகள் (Android பாதுகாப்பு புல்லட்டின்கள்) AOSP களஞ்சியத்தில் வழங்கப்படும் முக்கிய குறியீட்டில் உள்ள சிக்கல்களை மட்டுமே பிரதிபலிக்கின்றன, ஆனால் OEM களில் இருந்து மாற்றங்களுக்கு குறிப்பிட்ட சிக்கல்களை கணக்கில் எடுத்துக்கொள்ளவில்லை. ஏற்கனவே சிக்கல்கள் ZTE, Meizu, Vivo, OPPO, Digitime, Transsion மற்றும் Huawei போன்ற உற்பத்தியாளர்களைப் பாதிக்கின்றன.
அடையாளம் காணப்பட்ட சிக்கல்களில்:
- டிஜிடைம் சாதனங்களில், OTA புதுப்பிப்பு நிறுவல் சேவை API ஐ அணுகுவதற்கான கூடுதல் அனுமதிகளைச் சரிபார்ப்பதற்குப் பதிலாக ஹார்ட்கோட் செய்யப்பட்ட கடவுச்சொல், தாக்குபவர் அமைதியாக APK தொகுப்புகளை நிறுவவும் பயன்பாட்டு அனுமதிகளை மாற்றவும் அனுமதிக்கிறது.
- சில OEM களில் பிரபலமான மாற்று உலாவியில் கடவுச்சொல் மேலாளர் ஒவ்வொரு பக்கத்தின் சூழலில் இயங்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டின் வடிவத்தில். தாக்குபவரால் கட்டுப்படுத்தப்படும் தளமானது பயனரின் கடவுச்சொல் சேமிப்பகத்திற்கான முழு அணுகலைப் பெறலாம், இது நம்பமுடியாத DES அல்காரிதம் மற்றும் கடின குறியிடப்பட்ட விசையைப் பயன்படுத்தி குறியாக்கம் செய்யப்பட்டது.
- Meizu சாதனங்களில் கணினி UI பயன்பாடு குறியாக்கம் மற்றும் இணைப்பு சரிபார்ப்பு இல்லாமல் பிணையத்திலிருந்து கூடுதல் குறியீடு. பாதிக்கப்பட்டவரின் HTTP போக்குவரத்தை கண்காணிப்பதன் மூலம், தாக்குபவர் தனது குறியீட்டை பயன்பாட்டின் சூழலில் இயக்க முடியும்.
- Vivo சாதனங்கள் இருந்தன மேனிஃபெஸ்ட் கோப்பில் இந்த அனுமதிகள் குறிப்பிடப்படாவிட்டாலும் கூட, சில பயன்பாடுகளுக்கு கூடுதல் அனுமதிகளை வழங்க PackageManagerService வகுப்பின் checkUidPermission முறை. ஒரு பதிப்பில், com.google.uid.shared என்ற அடையாளங்காட்டியுடன் கூடிய பயன்பாடுகளுக்கு எந்த அனுமதியையும் முறை வழங்கியது. மற்றொரு பதிப்பில், அனுமதிகளை வழங்குவதற்கான பட்டியலில் தொகுப்பு பெயர்கள் சரிபார்க்கப்பட்டன.
ஆதாரம்: opennet.ru