page-loader

Android poskytuje aplikáciám bez oprávnení prístup k citlivým informáciám

Bezpečnostný výskumník zverejnil proof-of-concept aplikáciu na demonštráciu bezpečnostného problému v mobilnom operačnom systéme spoločnosti Google.

Mobilný operačný systém spoločnosti Google bol kritizovaný ako nezabezpečený najmä kvôli tomu, že v minulosti bol systém Android laxne kontrolovaný.

Teraz sa však zdá, že aplikácie bez oprávnení predstavujú novú hrozbu, pretože získavajú prístup k citlivým osobným údajom bez oprávnenia. Výskumník spoločnosti Leviathan Security Group Paul Brodeur v príspevku na blogu začiatkom tohto týždňa vysvetlil, že vytvoril dôkazový koncept, aby demonštroval, že aplikácie „bez oprávnení“ majú stále prístup ku karte SD zariadenia, identifikačným údajom telefónu a súborom uloženým inými aplikáciami.

Brodeurova aplikácia na karte SD poskytla zoznam všetkých neskrytých súborov vrátane fotografií, záloh a externých konfiguračných súborov. Brodeur uviedol, že zistil, že certifikáty OpenVPN boli uložené na karte SD jeho vlastného zariadenia.

„Aj keď je možné získať obsah všetkých týchto súborov, nechám na niekoho iného, aby rozhodol, ktoré súbory by sa mali chytiť a ktoré budú nudné,“ povedal.

Potom načítal súbor /data/system/packages.list, do ktorého boli nainštalované aplikácie v zariadení, a skenoval adresáre, aby zistil, či sa z nich dajú čítať citlivé informácie. Počas testovania uviedol, že sa mu podarilo prečítať niektoré súbory patriace iným aplikáciám. „Táto funkcia by sa dala použiť na vyhľadávanie aplikácií so zraniteľnosťami so slabými oprávneniami, ako napríklad tie, ktoré boli minulý rok hlásené v programe Skype,“ povedal.

Napokon, Brodeurova aplikácia dokázala zhromaždiť identifikačné informácie o telefóne. Bez povolenia „PHONE_STATE“ nemôžu aplikácie čítať medzinárodnú identitu mobilného zariadenia alebo medzinárodnú identitu mobilného účastníka. Informácie o globálnom systéme mobilných komunikácií a identifikátory predajcov SIM kariet sa však stále dali prečítať.

„Hoci táto aplikácia používa tlačidlá na aktiváciu troch rôznych akcií uvedených vyššie, je triviálne, aby akákoľvek nainštalovaná aplikácia vykonala tieto akcie bez akejkoľvek interakcie používateľa,“ napísal.

Brodeur uviedol, že aplikáciu testoval na systémoch Android 4.0.3 Ice Cream Sandwich a Android 2.3.5 Gingerbread.

Zdroj: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

vozík
Obchod

Kontakt

Ústredie

AppTec GmbH St. Jakobs-Strasse 30 CH-4052 Basel Schweiz

Telefón: +41 (0) 61 511 32 10
Fax: +41 (0) 61 511 32 19

E-mail: info@apptec360.com

rateus
Odporúčajte nás
Go to Top