Исследователь безопасности опубликовал приложение, демонстрирующее проблему безопасности в мобильной операционной системе Google.
Во многом благодаря тому, что в истории Android не было должного контроля за приложениями, мобильная операционная система Google подвергалась критике как небезопасная.
Но теперь выяснилось, что приложения без разрешений представляют собой новую угрозу, получая доступ к конфиденциальной личной информации без разрешения. Исследователь Leviathan Security Group Пол Бродо (Paul Brodeur) в своем блоге ранее на этой неделе рассказал, что создал концепцию, демонстрирующую, что приложения, работающие без разрешений, по-прежнему имеют доступ к SD-карте устройства, идентификационным данным телефона и файлам, сохраненным другими приложениями.
На SD-карте приложение Brodeur выдало список всех не скрытых файлов, включая фотографии, резервные копии и внешние файлы конфигурации. По словам Бродо, он обнаружил, что сертификаты OpenVPN хранятся на SD-карте его собственного устройства.
«Хотя можно получить содержимое всех этих файлов, я предоставлю кому-то другому решать, какие файлы следует захватить, а какие будут скучными», — сказал он.
Затем он получил файл /data/system/packages.list, в который были установлены приложения на устройстве, и просканировал каталоги, чтобы определить, можно ли считать из них конфиденциальную информацию. По его словам, во время тестирования он смог прочитать некоторые файлы, принадлежащие другим приложениям. «Эта функция может быть использована для поиска приложений с уязвимостями в слабых разрешениях, как, например, в Skype в прошлом году«, — сказал он.
Наконец, приложение Бродо смогло собрать идентификационную информацию о телефоне. Без разрешения «PHONE_STATE» приложения не смогут прочитать международный идентификатор мобильного оборудования или международный идентификатор мобильного абонента устройства. Однако информацию о Глобальной системе мобильной связи и идентификаторы производителей SIM-карт все еще можно было прочитать.
«Хотя это приложение использует кнопки для активации трех различных действий, описанных выше, любое установленное приложение может выполнить эти действия без какого-либо взаимодействия с пользователем», — написал он.
По словам Бродо, он тестировал приложение на Android 4.0.3 Ice Cream Sandwich и Android 2.3.5 Gingerbread.
Источник: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/