В нескольких местах существует возможность доступа к данным, отображаемым на экране, из-за раскрытия информации через побочный канал. Это м…
В нескольких местах существует возможность доступа к данным, отображаемым на экране, из-за раскрытия информации через побочный канал. Это может привести к локальному раскрытию информации без дополнительных привилегий. Взаимодействие пользователя не требуется [1]. Исправление доступно в обновленных версиях AOSP: 13, 14, 15, 16. Проблема была решена путем ограничения количества запросов размытия, которые может обработать дисплей, до 10, и отключения остальных. Это предотвращает кражу пикселей путем измерения времени выполнения размытия. Источники: - [1] https://android.googlesource.com/platform/frameworks/native/+/20465375a1d0cb71cdb891235a9f8a3fba31dbf6 - [2] https://source.android.com/security/bulletin/2025-09-01
Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →