page-loader

Android da a las aplicaciones «sin permisos» acceso a información confidencial

El investigador de seguridad publica una aplicación de prueba de concepto para demostrar el problema de seguridad en el sistema operativo móvil de Google.

Gracias en gran parte a la historia de Android de vigilancia laxa de aplicaciones, el sistema operativo móvil de Google ha sido criticado como inseguro.

Pero ahora parece que las aplicaciones sin permisos representan una nueva amenaza, obteniendo acceso a información personal confidencial sin autorización. El investigador de Leviathan Security Group, Paul Brodeur, explicó en una publicación de blog a principios de esta semana que creó una prueba de concepto para demostrar que las aplicaciones «sin permisos» todavía tienen acceso a la tarjeta SD del dispositivo, los datos de identificación del teléfono y los archivos almacenados por otras aplicaciones.

En la tarjeta SD, la aplicación de Brodeur produjo una lista de todos los archivos no ocultos, incluidas fotos, copias de seguridad y archivos de configuración externos. Brodeur dijo que descubrió que los certificados OpenVPN se almacenaban en la tarjeta SD de su propio dispositivo.

«Si bien es posible obtener el contenido de todos esos archivos, dejaré que otra persona decida qué archivos deben tomarse y cuáles serán aburridos», dijo.

Luego buscó el archivo /data/system/packages.list en el que se instalaron las aplicaciones en el dispositivo y escaneó los directorios para determinar si se podía leer información confidencial de esos directorios. Dijo durante las pruebas que pudo leer algunos archivos pertenecientes a otras aplicaciones. «Esta característica podría usarse para encontrar aplicaciones con vulnerabilidades de permisos débiles, como las que se informaron en Skype el año pasado«, dijo.

Por último, la aplicación de Brodeur pudo recopilar la información de identificación del teléfono. Sin el permiso «PHONE_STATE», las aplicaciones no pueden leer la identidad internacional del equipo móvil o la identidad internacional del suscriptor móvil del dispositivo. Sin embargo, todavía se podía leer el Sistema Mundial de Información de Comunicaciones Móviles y los ID de proveedores de SIM.

«Aunque esta aplicación usa botones para activar las tres acciones diferentes detalladas anteriormente, es trivial para cualquier aplicación instalada ejecutar estas acciones sin ninguna interacción del usuario», escribió.

Brodeur dijo que probó la aplicación en Android 4.0.3 Ice Cream Sandwich y Android 2.3.5 Gingerbread.

Fuente: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

carro
Tienda

Póngase en contacto con

Sede central

AppTec GmbH St. Jakobs-Strasse 30 CH-4052 Basilea Suiza

Teléfono: +41 (0) 61 511 32 10
Fax: +41 (0) 61 511 32 19

Correo electrónico: info@apptec360.com

rateus
Recomiéndanos
Go to Top