CS
Horká linka služeb
Bezpečnostní výzkumník zveřejnil zkušební aplikaci, která demonstruje bezpečnostní problém v mobilním operačním systému společnosti Google.
Mobilní operační systém společnosti Google je z velké části kvůli své historii, kdy byl nedostatečně kontrolován z hlediska aplikací, kritizován jako nezabezpečený.
Nyní se však ukazuje, že aplikace bez oprávnění představují novou hrozbu a získávají neoprávněný přístup k citlivým osobním údajům. Výzkumník společnosti Leviathan Security Group Paul Brodeur v příspěvku na blogu na začátku tohoto týdne vysvětlil, že vytvořil zkušební koncept, aby prokázal, že aplikace „bez oprávnění“ mají stále přístup ke kartě SD zařízení, identifikačním údajům telefonu a souborům uloženým jinými aplikacemi.
Brodeurova aplikace na kartě SD zobrazila seznam všech neskrytých souborů, včetně fotografií, záloh a externích konfiguračních souborů. Brodeur uvedl, že zjistil, že certifikáty OpenVPN jsou uloženy na SD kartě jeho vlastního zařízení.
„I když je možné získat obsah všech těchto souborů, nechám na někom jiném, aby rozhodl, které soubory by se měly uchopit a které budou nudné,“ řekl.
Poté načetl soubor /data/system/packages.list, do kterého byly nainstalovány aplikace v zařízení, a prohledal adresáře, aby zjistil, zda z nich lze číst citlivé informace. Během testování uvedl, že byl schopen přečíst některé soubory patřící jiným aplikacím. „Tato funkce by mohla být použita k nalezení aplikací se zranitelnostmi se slabými oprávněními, jako například ty, které byly v loňském roce zaznamenány ve Skypu,“ řekl.
Nakonec Brodeurova aplikace dokázala shromáždit identifikační informace o telefonu. Bez oprávnění „PHONE_STATE“ nemohou aplikace číst mezinárodní identitu mobilního zařízení nebo mezinárodní identitu mobilního účastníka. Informace o globálním systému mobilních komunikací a ID prodejce SIM karty však bylo možné přečíst.
„Ačkoli tato aplikace používá tlačítka k aktivaci tří různých akcí popsaných výše, je triviální, aby tyto akce provedla jakákoli nainstalovaná aplikace bez jakékoli interakce uživatele,“ napsal.
Brodeur uvedl, že aplikaci testoval na systémech Android 4.0.3 Ice Cream Sandwich a Android 2.3.5 Gingerbread.
Zdroj: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
