page-loader

Android antaa ”ei lupia” -sovelluksille pääsyn arkaluontoisiin tietoihin

Tietoturvatutkija julkaisee proof-of-concept -sovelluksen osoittaakseen Googlen mobiilikäyttöjärjestelmän tietoturvaongelman.

Googlen mobiilikäyttöjärjestelmää on kritisoitu turvattomaksi suurelta osin siksi, että Androidin sovellusten valvonta on ollut löyhää.

Nyt näyttää kuitenkin siltä, että sovellukset, joilla ei ole käyttöoikeuksia, ovat uusi uhka, sillä ne pääsevät käsiksi arkaluonteisiin henkilökohtaisiin tietoihin ilman lupaa. Leviathan Security Groupin tutkija Paul Brodeur selitti blogikirjoituksessaan aiemmin tällä viikolla, että hän loi proof-of-conceptin osoittaakseen, että ”ilman käyttöoikeuksia” -sovelluksilla on edelleen pääsy laitteen SD-kortille, luurin tunnistetietoihin ja muiden sovellusten tallentamiin tiedostoihin.

Brodeurin sovellus näytti SD-kortilla luettelon kaikista muista kuin piilotetuista tiedostoista, kuten valokuvista, varmuuskopioista ja ulkoisista asetustiedostoista. Brodeur kertoi havainneensa, että OpenVPN-varmenteet oli tallennettu hänen oman laitteensa SD-kortille.

”Vaikka kaikkien näiden tiedostojen sisältö on mahdollista hakea, jätän jonkun muun päätettäväksi, mitkä tiedostot kannattaa napata ja mitkä ovat tylsiä”, hän sanoi.

Sen jälkeen hän haki /data/system/packages.list-tiedoston, johon sovellukset oli asennettu laitteeseen, ja skannasi hakemistot selvittääkseen, voiko niistä lukea arkaluonteisia tietoja. Hän sanoi testauksen aikana, että hän pystyi lukemaan joitakin muiden sovellusten tiedostoja. ”Tätä ominaisuutta voidaan käyttää sellaisten sovellusten löytämiseen, joissa on heikkojen käyttöoikeuksien haavoittuvuuksia, kuten viime vuonna Skypessä raportoituja haavoittuvuuksia”, hän sanoi.

Lopuksi Brodeurin sovellus pystyi keräämään luurin tunnistetiedot. Ilman ”PHONE_STATE”-oikeutta sovellukset eivät voi lukea laitteen kansainvälistä matkaviestinlaitetunnusta tai kansainvälistä matkaviestintilaajatunnusta. Global System for Mobile Communications -järjestelmän tiedot ja SIM-kortin valmistajan tunnukset voitiin kuitenkin edelleen lukea.

”Vaikka tässä sovelluksessa käytetään painikkeita edellä mainittujen kolmen eri toiminnon aktivoimiseen, mikä tahansa asennettu sovellus voi suorittaa nämä toiminnot ilman käyttäjän vuorovaikutusta”, hän kirjoitti.

Brodeur sanoi testanneensa sovellusta Android 4.0.3 Ice Cream Sandwich- ja Android 2.3.5 Gingerbread -käyttöjärjestelmillä.

Lähde: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

kärry
Myymälä

Ota yhteyttä

Päämaja

AppTec GmbH
St. Jakobs-Strasse 30
CH-4052 Basel
Schweiz
Puhelin: +41 (0) 61 511 32 10
Faksi: +41 (0) 61 511 32 19

Postia: info@apptec360.com

AppTec_Contact
rateus
Suosittele meitä
Go to Top