HU
Szolgáltatási forródrót
Biztonsági kutató proof-of-concept alkalmazást tesz közzé a Google mobil operációs rendszerének biztonsági problémájának bemutatására.
Nagyrészt az Android laza alkalmazás-ellenőrzésének köszönhetően a Google mobil operációs rendszerét sok kritika érte, mivel nem biztonságos.
Most azonban úgy tűnik, hogy az engedélyek nélküli alkalmazások új fenyegetést jelentenek, mivel engedély nélkül férhetnek hozzá érzékeny személyes adatokhoz. A Leviathan Security Group kutatója, Paul Brodeur a hét elején egy blogbejegyzésben kifejtette, hogy létrehozott egy proof-of-conceptet annak bizonyítására, hogy az „engedélyek nélküli” alkalmazások továbbra is hozzáférnek a készülék SD-kártyájához, a készülék azonosító adataihoz és más alkalmazások által tárolt fájlokhoz.
Az SD-kártyán a Brodeur-alkalmazás az összes nem rejtett fájl, köztük a fényképek, biztonsági mentések és külső konfigurációs fájlok listáját adta ki. Brodeur elmondta, hogy az OpenVPN tanúsítványokat a saját eszköze SD-kártyáján tárolta.
„Bár az összes ilyen fájl tartalmát le lehet kérni, másra bízom annak eldöntését, hogy mely fájlokat kell lekérni, és melyek lesznek unalmasak” – mondta.
Ezután lekérte a /data/system/packages.list fájlt, amelybe a készülékre telepített alkalmazások kerültek, és átvizsgálta a könyvtárakat, hogy megállapítsa, hogy az érzékeny információk kiolvashatók-e ezekből a könyvtárakból. A tesztelés során azt mondta, hogy képes volt elolvasni néhány más alkalmazáshoz tartozó fájlt. „Ezt a funkciót arra lehet használni, hogy megtaláljuk a gyenge jogosultságokkal rendelkező alkalmazásokat, mint amilyeneket tavaly jelentettek a Skype esetében” – mondta.
Végül Brodeur alkalmazásával sikerült összegyűjteni a kézibeszélő azonosító adatait. A „PHONE_STATE” engedély nélkül az alkalmazások nem olvashatják a készülék nemzetközi mobileszköz-azonosítóját vagy nemzetközi mobil előfizetőazonosítóját. A Global System for Mobile Communications információi és a SIM-gyártó azonosítói azonban továbbra is leolvashatók voltak.
„Bár ez az alkalmazás gombokat használ a fent részletezett három különböző művelet aktiválásához, bármelyik telepített alkalmazás számára triviális, hogy ezeket a műveleteket a felhasználó beavatkozása nélkül hajtsa végre” – írta.
Brodeur elmondta, hogy az alkalmazást Android 4.0.3 Ice Cream Sandwich és Android 2.3.5 Gingerbread rendszereken tesztelte.
Forrás: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
