Sikkerhedsforsker udgiver proof-of-concept-app for at demonstrere sikkerhedsproblem i Googles mobile styresystem.
Takket være Androids historie med lemfældig app-kontrol er Googles mobile styresystem blevet kritiseret for at være usikkert.
Men nu ser det ud til, at apps uden tilladelser udgør en ny trussel, da de kan få adgang til følsomme personlige oplysninger uden tilladelse. Forskeren Paul Brodeur fra Leviathan Security Group forklarede i et blogindlæg tidligere på ugen, at han havde lavet et proof-of-concept for at demonstrere, at apps uden tilladelser stadig har adgang til enhedens SD-kort, håndsættets identifikationsdata og filer gemt af andre apps.
På SD-kortet gav Brodeurs app en liste over alle ikke-skjulte filer, herunder fotos, sikkerhedskopier og eksterne konfigurationsfiler. Brodeur sagde, at han fandt ud af, at OpenVPN-certifikater var gemt på hans egen enheds SD-kort.
“Selvom det er muligt at hente indholdet af alle disse filer, vil jeg overlade det til en anden at beslutte, hvilke filer der skal hentes, og hvilke der skal være kedelige,” sagde han.
Derefter hentede han filen /data/system/packages.list, hvor apps var installeret på enheden, og scannede mapperne for at afgøre, om følsomme oplysninger kunne læses fra disse mapper. Han sagde under testen, at han var i stand til at læse nogle filer, der tilhørte andre apps. “Denne funktion kan bruges til at finde apps med svage tilladelsessårbarheder, som dem, der blev rapporteret i Skype sidste år,” sagde han.
Endelig var Brodeurs app i stand til at indsamle håndsættets identifikationsoplysninger. Uden tilladelsen “PHONE_STATE” kan programmer ikke læse enhedens International Mobile Equipment Identity eller International Mobile Subscriber Identity. Oplysningerne fra Global System for Mobile Communications og SIM-leverandørens ID kunne dog stadig aflæses.
“Selvom denne app bruger knapper til at aktivere de tre forskellige handlinger, der er beskrevet ovenfor, er det trivielt for enhver installeret app at udføre disse handlinger uden nogen brugerinteraktion,” skrev han.
Brodeur sagde, at han testede appen på Android 4.0.3 Ice Cream Sandwich og Android 2.3.5 Gingerbread.
Kilde: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/