Google చొరవ , ఇది వివిధ OEM తయారీదారుల నుండి Android పరికరాల్లోని దుర్బలత్వాలపై డేటాను బహిర్గతం చేయాలని యోచిస్తోంది. థర్డ్-పార్టీ తయారీదారుల నుండి మార్పులతో ఫర్మ్వేర్కు సంబంధించిన నిర్దిష్ట దుర్బలత్వాల గురించి ఈ చొరవ వినియోగదారులకు మరింత పారదర్శకంగా చేస్తుంది.
ఇప్పటి వరకు, అధికారిక దుర్బలత్వ నివేదికలు (Android సెక్యూరిటీ బులెటిన్లు) AOSP రిపోజిటరీలో ప్రతిపాదించబడిన కోర్ కోడ్లోని సమస్యలను మాత్రమే ప్రతిబింబిస్తాయి, కానీ OEMల నుండి మార్పులకు సంబంధించిన నిర్దిష్ట సమస్యలను పరిగణనలోకి తీసుకోలేదు. ఇప్పటికే సమస్యలు ZTE, Meizu, Vivo, OPPO, Digitime, Transsion మరియు Huawei వంటి తయారీదారులను ప్రభావితం చేస్తాయి.
గుర్తించబడిన సమస్యలలో:
- డిజిటైమ్ పరికరాలలో, OTA అప్డేట్ ఇన్స్టాలేషన్ సర్వీస్ APIని యాక్సెస్ చేయడానికి అదనపు అనుమతులను తనిఖీ చేయడానికి బదులుగా APK ప్యాకేజీలను నిశ్శబ్దంగా ఇన్స్టాల్ చేయడానికి మరియు అప్లికేషన్ అనుమతులను మార్చడానికి దాడి చేసే వ్యక్తిని అనుమతించే హార్డ్కోడ్ పాస్వర్డ్.
- కొన్ని OEMలతో ప్రసిద్ధి చెందిన ప్రత్యామ్నాయ బ్రౌజర్లో పాస్వర్డ్ మేనేజర్ ప్రతి పేజీ సందర్భంలో అమలు చేసే జావాస్క్రిప్ట్ కోడ్ రూపంలో. దాడి చేసేవారిచే నియంత్రించబడే సైట్ వినియోగదారు పాస్వర్డ్ నిల్వకు పూర్తి ప్రాప్యతను పొందగలదు, ఇది నమ్మదగని DES అల్గారిథమ్ మరియు హార్డ్-కోడెడ్ కీని ఉపయోగించి గుప్తీకరించబడింది.
- Meizu పరికరాలలో సిస్టమ్ UI అప్లికేషన్ ఎన్క్రిప్షన్ మరియు కనెక్షన్ ధృవీకరణ లేకుండా నెట్వర్క్ నుండి అదనపు కోడ్. బాధితుడి HTTP ట్రాఫిక్ను పర్యవేక్షించడం ద్వారా, దాడి చేసే వ్యక్తి అప్లికేషన్ సందర్భంలో అతని కోడ్ను అమలు చేయవచ్చు.
- Vivo పరికరాలు ఉన్నాయి ఈ అనుమతులు మానిఫెస్ట్ ఫైల్లో పేర్కొనబడనప్పటికీ, కొన్ని అప్లికేషన్లకు అదనపు అనుమతులను మంజూరు చేయడానికి PackageManagerService క్లాస్ యొక్క చెక్UidPermission పద్ధతి. ఒక సంస్కరణలో, com.google.uid.shared ఐడెంటిఫైయర్తో అప్లికేషన్లకు ఈ పద్ధతి ఏవైనా అనుమతులను మంజూరు చేసింది. మరొక సంస్కరణలో, అనుమతులను మంజూరు చేయడానికి ప్యాకేజీ పేర్లు జాబితాకు వ్యతిరేకంగా తనిఖీ చేయబడ్డాయి.
మూలం: opennet.ru