ET
Teenindus Hotline
Turvalisuse uurija avaldab proof-of-concept rakenduse, et demonstreerida Google’i mobiilse operatsioonisüsteemi turvaprobleemi.
Suures osas tänu Androidi ajaloole, kus rakenduste kontrollimine on olnud lõtv, on Google’i mobiilset operatsioonisüsteemi kritiseeritud kui ebaturvalist.
Nüüd aga tundub, et rakendused, millel puuduvad õigused, kujutavad endast uut ohtu, saades ilma loata juurdepääsu tundlikele isikuandmetele. Leviathan Security Groupi teadlane Paul Brodeur selgitas selle nädala alguses blogipostituses, et ta lõi tõestuskontseptsiooni, et näidata, et “ilma õigustega” rakendustel on endiselt juurdepääs seadme SD-kaardile, telefonituvastuse andmetele ja teiste rakenduste poolt salvestatud failidele.
Brodeuri rakendus andis SD-kaardil nimekirja kõigist mittepeidetud failidest, sealhulgas fotodest, varukoopiatest ja välistest konfiguratsioonifailidest. Brodeur ütles, et ta leidis, et OpenVPNi sertifikaadid olid salvestatud tema enda seadme SD-kaardile.
“Kuigi kõigi nende failide sisu on võimalik kätte saada, jätan kellegi teise otsustada, millised failid tuleks kätte saada ja millised jäävad igavaks,” ütles ta.
Seejärel otsis ta välja faili /data/system/packages.list, kuhu olid seadmesse installitud rakendused, ja skaneeris kataloogid, et teha kindlaks, kas neist kataloogidest saab lugeda tundlikku teavet. Ta ütles testimise ajal, et ta suutis lugeda mõningaid teistele rakendustele kuuluvaid faile. “Seda funktsiooni saab kasutada nõrkade volitustega rakenduste leidmiseks, nagu näiteks need, millest Skype’is eelmisel aastal teatati,” ütles ta.
Lõpuks suutis Brodeuri rakendus koguda mobiiltelefoni identifitseerimisandmeid. Ilma õigusega “PHONE_STATE” ei saa rakendused lugeda seadme rahvusvahelist mobiilseadme identiteeti või rahvusvahelist mobiilside abonendi identiteeti. Kuid globaalse mobiilsidesüsteemi teavet ja SIM-kaardi müüja ID-d on siiski võimalik lugeda.
“Kuigi see rakendus kasutab nuppe kolme eespool kirjeldatud toimingu aktiveerimiseks, on iga installitud rakenduse jaoks triviaalne võimalus neid toiminguid ilma kasutaja sekkumiseta teostada,” kirjutas ta.
Brodeur ütles, et ta testis rakendust Android 4.0.3 Ice Cream Sandwichi ja Android 2.3.5 Gingerbreadiga.
Allikas: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
