Um investigador de segurança publica uma aplicação de prova de conceito para demonstrar um problema de segurança no sistema operativo móvel da Google.
Graças, em grande parte, ao historial de falta de controlo das aplicações do Android, o sistema operativo móvel da Google tem sido criticado como inseguro.
Mas agora parece que as aplicações sem permissões representam uma nova ameaça, ganhando acesso a informações pessoais sensíveis sem autorização. Paul Brodeur, investigador do Leviathan Security Group, explicou num blogue publicado no início desta semana que criou uma prova de conceito para demonstrar que as aplicações “sem permissões” continuam a ter acesso ao cartão SD do dispositivo, aos dados de identificação do telemóvel e aos ficheiros armazenados por outras aplicações.
No cartão SD, a aplicação de Brodeur forneceu uma lista de todos os ficheiros não ocultos, incluindo fotografias, cópias de segurança e ficheiros de configuração externa. Brodeur disse que descobriu que os certificados OpenVPN estavam armazenados no cartão SD do seu próprio dispositivo.
“Embora seja possível obter o conteúdo de todos esses ficheiros, vou deixar que seja outra pessoa a decidir quais os ficheiros que devem ser obtidos e quais os que vão ser aborrecidos”, disse ele.
Em seguida, foi buscar ao ficheiro /data/system/packages.list as aplicações que estavam instaladas no dispositivo e analisou os directórios para determinar se era possível ler informações sensíveis a partir desses directórios. Durante os testes, disse que conseguiu ler alguns ficheiros pertencentes a outras aplicações. “Esta funcionalidade pode ser utilizada para encontrar aplicações com vulnerabilidades de permissões fracas, como as que foram detectadas no Skype no ano passado“, afirmou.
Por último, a aplicação de Brodeur conseguiu recolher as informações de identificação do telemóvel. Sem a permissão “PHONE_STATE”, as aplicações não podem ler a Identidade Internacional de Equipamento Móvel ou a Identidade Internacional de Assinante Móvel do dispositivo. No entanto, as informações do Sistema Global de Comunicações Móveis e as identificações do fornecedor do SIM ainda podiam ser lidas.
“Embora esta aplicação utilize botões para ativar as três acções diferentes acima descritas, é trivial para qualquer aplicação instalada executar estas acções sem qualquer interação do utilizador”, escreveu.
Brodeur disse que testou a aplicação no Android 4.0.3 Ice Cream Sandwich e no Android 2.3.5 Gingerbread.
Fonte: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/