谷歌 主动 ,该公司计划披露各 OEM 制造商 Android 设备中的漏洞数据。 该计划将使用户对经过第三方制造商修改的固件特有的漏洞更加透明。
到目前为止,官方漏洞报告(Android 安全公告)仅反映了 AOSP 存储库中提供的核心代码中的问题,但尚未考虑 OEM 修改的特定问题。 已经 这些问题影响了中兴、魅族、Vivo、OPPO、Digitime、传音和华为等制造商。
已发现的问题包括:
- 在 Digitime 设备中,不检查访问 OTA 更新安装服务 API 的附加权限 硬编码密码,允许攻击者悄悄安装 APK 包并更改应用程序权限。
- 在一些 OEM 流行的替代浏览器中 密码管理器 以在每个页面的上下文中运行的 JavaScript 代码的形式。 攻击者控制的站点可以获得对用户密码存储的完全访问权限,该密码存储是使用不可靠的 DES 算法和硬编码密钥进行加密的。
- 魅族设备上的系统UI应用 来自网络的附加代码,无需加密和连接验证。 通过监视受害者的 HTTP 流量,攻击者可以在应用程序的上下文中运行他的代码。
- Vivo 设备有 PackageManagerService 类的 checkUidPermission 方法向某些应用程序授予附加权限,即使这些权限未在清单文件中指定。 在一个版本中,该方法向具有 com.google.uid.shared 标识符的应用程序授予任何权限。 在另一个版本中,根据列表检查包名称以授予权限。
来源: opennet.ru
