Android дава на приложенията без разрешения достъп до чувствителна информация

Изследовател по сигурността публикува доказателство за концептуално приложение, за да демонстрира проблем със сигурността в мобилната операционна система на Google.

До голяма степен заради историята на Android с небрежен контрол на приложенията мобилната операционна система на Google е критикувана като несигурна.

Сега обаче се оказва, че приложенията без разрешения представляват нова заплаха, като получават достъп до чувствителна лична информация без разрешение. Изследователят от Leviathan Security Group Пол Бродур обясни в публикация в блога си по-рано тази седмица, че е създал доказателство за концепцията, за да демонстрира, че приложенията „без разрешения“ все още имат достъп до SD картата на устройството, данните за идентификация на телефона и файловете, съхранявани от други приложения.

В SD картата приложението на Бродур дава списък на всички нескрити файлове, включително снимки, резервни копия и файлове с външна конфигурация. Brodeur казва, че е открил, че сертификатите на OpenVPN са били съхранени на SD картата на собственото му устройство.

„Макар че е възможно да се извлече съдържанието на всички тези файлове, ще оставя на някой друг да реши кои файлове трябва да бъдат взети и кои ще бъдат скучни“, каза той.

След това той извлича файла /data/system/packages.list, в който са инсталирани приложенията на устройството, и сканира директориите, за да установи дали от тях може да се прочете чувствителна информация. По време на тестовете той заяви, че е успял да прочете някои файлове, принадлежащи на други приложения. „Тази функция може да се използва за откриване на приложения с уязвимости със слаби права, като например тези, за които беше съобщено в Skype миналата година“, каза той.

Накрая, приложението на Бродур успява да събере идентификационната информация на телефона. Без разрешението „PHONE_STATE“ приложенията не могат да прочетат международната идентификация на мобилното оборудване или международната идентификация на мобилния абонат на устройството. Въпреки това информацията от Глобалната система за мобилни комуникации и идентификаторите на доставчиците на SIM карти все още можеха да бъдат прочетени.

„Въпреки че това приложение използва бутони за активиране на трите различни действия, описани по-горе, всяко инсталирано приложение може да изпълни тези действия без никакво взаимодействие с потребителя“, пише той.

Бродър заяви, че е тествал приложението на Android 4.0.3 Ice Cream Sandwich и Android 2.3.5 Gingerbread.

Източник: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/