page-loader

Android ad „nincs engedélyek” alkalmazások hozzáférést az érzékeny információkhoz

Biztonsági kutató proof-of-concept alkalmazást tesz közzé a Google mobil operációs rendszerének biztonsági problémájának bemutatására.

Nagyrészt az Android laza alkalmazás-ellenőrzésének köszönhetően a Google mobil operációs rendszerét sok kritika érte, mivel nem biztonságos.

Most azonban úgy tűnik, hogy az engedélyek nélküli alkalmazások új fenyegetést jelentenek, mivel engedély nélkül férhetnek hozzá érzékeny személyes adatokhoz. A Leviathan Security Group kutatója, Paul Brodeur a hét elején egy blogbejegyzésben kifejtette, hogy létrehozott egy proof-of-conceptet annak bizonyítására, hogy az „engedélyek nélküli” alkalmazások továbbra is hozzáférnek a készülék SD-kártyájához, a készülék azonosító adataihoz és más alkalmazások által tárolt fájlokhoz.

Az SD-kártyán a Brodeur-alkalmazás az összes nem rejtett fájl, köztük a fényképek, biztonsági mentések és külső konfigurációs fájlok listáját adta ki. Brodeur elmondta, hogy az OpenVPN tanúsítványokat a saját eszköze SD-kártyáján tárolta.

„Bár az összes ilyen fájl tartalmát le lehet kérni, másra bízom annak eldöntését, hogy mely fájlokat kell lekérni, és melyek lesznek unalmasak” – mondta.

Ezután lekérte a /data/system/packages.list fájlt, amelybe a készülékre telepített alkalmazások kerültek, és átvizsgálta a könyvtárakat, hogy megállapítsa, hogy az érzékeny információk kiolvashatók-e ezekből a könyvtárakból. A tesztelés során azt mondta, hogy képes volt elolvasni néhány más alkalmazáshoz tartozó fájlt. „Ezt a funkciót arra lehet használni, hogy megtaláljuk a gyenge jogosultságokkal rendelkező alkalmazásokat, mint amilyeneket tavaly jelentettek a Skype esetében” – mondta.

Végül Brodeur alkalmazásával sikerült összegyűjteni a kézibeszélő azonosító adatait. A „PHONE_STATE” engedély nélkül az alkalmazások nem olvashatják a készülék nemzetközi mobileszköz-azonosítóját vagy nemzetközi mobil előfizetőazonosítóját. A Global System for Mobile Communications információi és a SIM-gyártó azonosítói azonban továbbra is leolvashatók voltak.

„Bár ez az alkalmazás gombokat használ a fent részletezett három különböző művelet aktiválásához, bármelyik telepített alkalmazás számára triviális, hogy ezeket a műveleteket a felhasználó beavatkozása nélkül hajtsa végre” – írta.

Brodeur elmondta, hogy az alkalmazást Android 4.0.3 Ice Cream Sandwich és Android 2.3.5 Gingerbread rendszereken tesztelte.

Forrás: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

kosár
Áruház

Kapcsolat

Székhely

AppTec GmbH St. Jakobs-Strasse 30 CH-4052 Basel Schweiz

Telefon: +41 (0) 61 511 32 10
Fax: +41 (0) 61 511 32 19

E-mail: info@apptec360.com

rateus
Ajánljon minket
Go to Top