谷歌
到目前为止,官方漏洞报告(Android 安全公告)仅反映了 AOSP 存储库中提供的核心代码中的问题,但尚未考虑 OEM 修改的特定问题。 已经
已发现的问题包括:
- 在 Digitime 设备中,不检查访问 OTA 更新安装服务 API 的附加权限
被使用了 硬编码密码,允许攻击者悄悄安装 APK 包并更改应用程序权限。 - 在一些 OEM 流行的替代浏览器中
凤凰城 密码管理器已实施 以在每个页面的上下文中运行的 JavaScript 代码的形式。 攻击者控制的站点可以获得对用户密码存储的完全访问权限,该密码存储是使用不可靠的 DES 算法和硬编码密钥进行加密的。 - 魅族设备上的系统UI应用
已加载 来自网络的附加代码,无需加密和连接验证。 通过监视受害者的 HTTP 流量,攻击者可以在应用程序的上下文中运行他的代码。 - Vivo 设备有
重做 PackageManagerService 类的 checkUidPermission 方法向某些应用程序授予附加权限,即使这些权限未在清单文件中指定。 在一个版本中,该方法向具有 com.google.uid.shared 标识符的应用程序授予任何权限。 在另一个版本中,根据列表检查包名称以授予权限。
来源: opennet.ru