Google ташаббус , ки ба нақша гирифтааст, ки маълумотро дар бораи осебпазирии дастгоҳҳои Android аз истеҳсолкунандагони гуногуни OEM ифшо кунад. Ташаббус онро барои корбарон дар бораи осебпазирии мушаххаси нармафзор бо тағирот аз истеҳсолкунандагони тарафи сеюм шаффофтар мекунад.
То ба ҳол, гузоришҳои расмии осебпазирӣ (Бюллетени Амнияти Android) танҳо масъалаҳоро дар коди аслӣ, ки дар анбори AOSP пешниҳод шудаанд, инъикос мекарданд, аммо масъалаҳои марбут ба тағиротҳои OEMҳоро ба назар нагирифтаанд. Аллакай Мушкилот ба истеҳсолкунандагон, аз қабили ZTE, Meizu, Vivo, OPPO, Digitime, Transsion ва Huawei дахл доранд.
Дар байни мушкилоти муайяншуда:
- Дар дастгоҳҳои Digitime, ба ҷои тафтиши иҷозатҳои иловагӣ барои дастрасӣ ба хидмати насби навсозии OTA API пароли сахт кодшуда, ки ба ҳамлагар имкон медиҳад, ки бастаҳои APK-ро оромона насб кунад ва иҷозатҳои барномаро тағир диҳад.
- Дар браузери алтернативӣ, ки бо баъзе OEMҳо маъмул аст мудири парол дар шакли рамзи JavaScript, ки дар контексти ҳар як саҳифа кор мекунад. Сомонае, ки аз ҷониби ҳамлагар назорат мешавад, метавонад дастрасии пурра ба нигаҳдории пароли корбарро пайдо кунад, ки он бо истифода аз алгоритми беэътимоди DES ва калиди сахт кодшуда рамзгузорӣ шуда буд.
- Замимаи UI система дар дастгоҳҳои Meizu рамзи иловагӣ аз шабака бе рамзгузорӣ ва тасдиқи пайвастшавӣ. Бо мониторинги трафики HTTP-и қурбонӣ, ҳамлакунанда метавонад рамзи худро дар контексти барнома иҷро кунад.
- Дастгоҳҳои Vivo доштанд Усули checkUidPermission синфи PackageManagerService барои додани иҷозатҳои иловагӣ ба баъзе барномаҳо, ҳатто агар ин иҷозатҳо дар файли манифест муайян нашуда бошанд. Дар як версия, усул ба барномаҳо бо идентификатори com.google.uid.shared ҳама гуна иҷозатҳоро дод. Дар версияи дигар, номҳои бастаҳо аз рӯйхат барои додани иҷозатҳо тафтиш карда шуданд.
Манбаъ: opennet.ru