گوگل پہل ، جو مختلف OEM مینوفیکچررز سے Android ڈیوائسز میں کمزوریوں سے متعلق ڈیٹا کو ظاہر کرنے کا ارادہ رکھتا ہے۔ یہ اقدام صارفین کے لیے تیسرے فریق کے مینوفیکچررز کی ترمیم کے ساتھ فرم ویئر کے لیے مخصوص خطرات کے بارے میں مزید شفاف بنائے گا۔
ابھی تک، سرکاری خطرے کی رپورٹس (Android Security Bulletins) نے صرف AOSP ریپوزٹری میں پیش کردہ بنیادی کوڈ میں مسائل کی عکاسی کی ہے، لیکن OEMs سے ترمیم کے لیے مخصوص مسائل کو مدنظر نہیں رکھا ہے۔ پہلے سے مسائل ZTE، Meizu، Vivo، OPPO، Digitime، Transsion اور Huawei جیسے مینوفیکچررز کو متاثر کرتے ہیں۔
شناخت شدہ مسائل میں سے:
- Digitime آلات میں، OTA اپ ڈیٹ انسٹالیشن سروس API تک رسائی کے لیے اضافی اجازتوں کو چیک کرنے کے بجائے ایک ہارڈ کوڈ شدہ پاس ورڈ جو حملہ آور کو خاموشی سے APK پیکجز انسٹال کرنے اور ایپلیکیشن کی اجازتوں کو تبدیل کرنے دیتا ہے۔
- کچھ OEMs کے ساتھ مقبول متبادل براؤزر میں پاس ورڈ مینیجر جاوا اسکرپٹ کوڈ کی شکل میں جو ہر صفحے کے تناظر میں چلتا ہے۔ حملہ آور کے زیر کنٹرول سائٹ صارف کے پاس ورڈ سٹوریج تک مکمل رسائی حاصل کر سکتی ہے، جسے غیر معتبر DES الگورتھم اور ہارڈ کوڈڈ کلید کا استعمال کرتے ہوئے انکرپٹ کیا گیا تھا۔
- Meizu آلات پر سسٹم UI ایپلیکیشن بغیر خفیہ کاری اور کنکشن کی تصدیق کے نیٹ ورک سے اضافی کوڈ۔ متاثرہ کے HTTP ٹریفک کی نگرانی کرکے، حملہ آور اپنا کوڈ ایپلی کیشن کے تناظر میں چلا سکتا ہے۔
- Vivo ڈیوائسز تھیں۔ کچھ ایپلیکیشنز کو اضافی اجازتیں دینے کے لیے PackageManagerService کلاس کا checkUidPermission طریقہ، چاہے یہ اجازتیں مینی فیسٹ فائل میں متعین نہ ہوں۔ ایک ورژن میں، طریقہ کار نے com.google.uid.shared شناخت کنندہ کے ساتھ ایپلیکیشنز کو کوئی اجازت دی ہے۔ دوسرے ورژن میں، پیکیج کے ناموں کو اجازت دینے کے لیے فہرست کے خلاف چیک کیا گیا تھا۔
ماخذ: opennet.ru