Google будет раскрывать сведения об уязвимостях в сторонних Android-устройствах
3 октября 2020 года
Компания Google представила инициативу Android Partner Vulnerability, в рамках которой планируется раскрывать данные об уязвимостях в Android-устройствах различных OEM-производителей. Инициатива сделает более прозрачным доведение до пользователей сведений об уязвимостях, специфичных для прошивок с модификациями от сторонних производителей.
До сих пор в официальных отчётах об уязвимостях (Android Security Bulletins) отражались только проблемы в основном коде, предложенном в репозитории AOSP, но не учитывались проблемы, специфичные для модификаций от OEM-производителей. Уже раскрытые проблемы затрагивают таких производителей, как ZTE, Meizu, Vivo, OPPO, Digitime, Transsion и Huawei.
Среди выявленных проблем:
- В устройствах Digitime вместо проверки дополнительных полномочий для доступа к API сервиса установки OTA-обновлений был использован жёстко прошитый пароль, позволяющий злоумышленнику незаметно установить APK-пакеты и поменять права доступа приложению.
- В пользующемся популярностью у некоторых OEM-производителей альтернативном браузере Phoenix менеджер паролей был реализован в форме JavaScript-кода, запускаемого в контексте каждой страницы. Подконтрольный атакующему сайт мог получить полный доступ к хранилищу паролей пользователя, для шифрования которого применялся ненадёжных алгоритм DES и жёстко прошитый ключ.
- Приложение System UI на устройствах Meizu загружало дополнительный код из сети без шифрования и верификации соединения. При контроле за HTTP-трафиком жертвы атакующий мог запустить свой код в контексте приложения.
- У устройствах Vivo был переделан метод checkUidPermission класса PackageManagerService для предоставления дополнительных полномочий некоторым приложениям, даже если эти полномочия не указаны в файле с манифестом. В одной версии метод предоставлял любые полномочия приложениям с идентификатором com.google.uid.shared. В другой версии для предоставления полномочий выполнялась сверка имён пакетов по списку.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
