IT
Linea diretta di assistenza
Il ricercatore di sicurezza pubblica un’app proof-of-concept per dimostrare il problema di sicurezza nel sistema operativo mobile di Google.
Grazie in gran parte alla storia di Android di lassista app policing, il sistema operativo mobile di Google è stato criticato come insicuro.
Ma ora sembra che le app senza autorizzazioni rappresentino una nuova minaccia, ottenendo l’accesso a informazioni personali sensibili senza autorizzazione. Il ricercatore del Leviathan Security Group Paul Brodeur ha spiegato in un post sul blog all’inizio di questa settimana di aver creato un proof-of-concept per dimostrare che le app “senza autorizzazioni” hanno ancora accesso alla scheda SD del dispositivo, ai dati di identificazione del telefono e ai file memorizzati da altre app.
Sulla scheda SD, l’app di Brodeur ha prodotto un elenco di tutti i file non nascosti, tra cui foto, backup e file di configurazione esterni. Brodeur ha detto di aver scoperto che i certificati OpenVPN erano memorizzati sulla scheda SD del suo dispositivo.
“Mentre è possibile recuperare il contenuto di tutti quei file, lascerò a qualcun altro decidere quali file dovrebbero essere afferrati e quali saranno noiosi”, ha detto.
Ha quindi recuperato il file /data/system/packages.list in cui le app erano installate sul dispositivo e ha scansionato le directory per determinare se le informazioni sensibili potevano essere lette da quelle directory. Ha detto durante i test che è stato in grado di leggere alcuni file appartenenti ad altre app. “Questa funzione potrebbe essere utilizzata per trovare app con vulnerabilità di autorizzazione debole, come quelle segnalate in Skype l’anno scorso“, ha affermato.
Infine, l’app di Brodeur è stata in grado di raccogliere le informazioni di identificazione del telefono. Senza l’autorizzazione “PHONE_STATE”, le applicazioni non possono leggere l’International Mobile Equipment Identity o l’International Mobile Subscriber Identity del dispositivo. Tuttavia, le informazioni del Global System for Mobile Communications e gli ID fornitore della SIM potrebbero ancora essere letti.
“Sebbene questa app utilizzi pulsanti per attivare le tre diverse azioni descritte sopra, è banale per qualsiasi app installata eseguire queste azioni senza alcuna interazione da parte dell’utente”, ha scritto.
Brodeur ha detto di aver testato l’app su Android 4.0.3 Ice Cream Sandwich e Android 2.3.5 Gingerbread.
Fonte: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
