谷歌 倡議 ,該公司計劃披露各 OEM 製造商 Android 裝置中的漏洞數據。 該計劃將使用戶對經過第三方製造商修改的韌體特有的漏洞更加透明。
到目前為止,官方漏洞報告(Android 安全公告)僅反映了 AOSP 儲存庫中提供的核心程式碼中的問題,但尚未考慮 OEM 修改的特定問題。 已經 這些問題影響了中興、魅族、Vivo、OPPO、Digitime、傳音和華為等製造商。
已發現的問題包括:
- 在 Digitime 設備中,不檢查存取 OTA 更新安裝服務 API 的附加權限 硬編碼密碼,允許攻擊者悄悄安裝 APK 套件並更改應用程式權限。
- 在一些 OEM 流行的替代瀏覽器中 密碼管理器 以在每個頁面的上下文中運行的 JavaScript 程式碼的形式。 攻擊者控制的網站可以獲得對使用者密碼儲存的完全存取權限,該密碼儲存是使用不可靠的 DES 演算法和硬編碼金鑰進行加密的。
- 魅族設備上的系統UI應用 來自網路的附加代碼,無需加密和連接驗證。 透過監視受害者的 HTTP 流量,攻擊者可以在應用程式的上下文中運行他的程式碼。
- Vivo 裝置有 PackageManagerService 類別的 checkUidPermission 方法會向某些應用程式授予附加權限,即使這些權限未在清單檔案中指定。 在一個版本中,該方法向具有 com.google.uid.shared 識別碼的應用程式授予任何權限。 在另一個版本中,根據清單檢查套件名稱以授予權限。
來源: opennet.ru