谷歌
到目前為止,官方漏洞報告(Android 安全公告)僅反映了 AOSP 儲存庫中提供的核心程式碼中的問題,但尚未考慮 OEM 修改的特定問題。 已經
已發現的問題包括:
- 在 Digitime 設備中,不檢查存取 OTA 更新安裝服務 API 的附加權限
被使用 硬編碼密碼,允許攻擊者悄悄安裝 APK 套件並更改應用程式權限。 - 在一些 OEM 流行的替代瀏覽器中
鳳凰 密碼管理器已實施 以在每個頁面的上下文中運行的 JavaScript 程式碼的形式。 攻擊者控制的網站可以獲得對使用者密碼儲存的完全存取權限,該密碼儲存是使用不可靠的 DES 演算法和硬編碼金鑰進行加密的。 - 魅族設備上的系統UI應用
已載入 來自網路的附加代碼,無需加密和連接驗證。 透過監視受害者的 HTTP 流量,攻擊者可以在應用程式的上下文中運行他的程式碼。 - Vivo 裝置有
重做 PackageManagerService 類別的 checkUidPermission 方法會向某些應用程式授予附加權限,即使這些權限未在清單檔案中指定。 在一個版本中,該方法向具有 com.google.uid.shared 識別碼的應用程式授予任何權限。 在另一個版本中,根據清單檢查套件名稱以授予權限。
來源: opennet.ru