LT
Karštoji paslaugų linija
Saugumo tyrėjas paskelbė koncepcinę programą, kad parodytų „Google” mobiliosios operacinės sistemos saugumo problemą.
„Google” mobilioji operacinė sistema buvo kritikuojama kaip nesaugi daugiausia dėl to, kad „Android” istorijoje buvo nepakankamai kontroliuojamos programėlės.
Tačiau dabar paaiškėjo, kad programėlės, neturinčios leidimų, kelia naują grėsmę – jos be leidimo gauna prieigą prie jautrios asmeninės informacijos. „Leviathan Security Group” tyrėjas Paulas Brodeuras šios savaitės pradžioje tinklaraščio įraše paaiškino, kad jis sukūrė koncepcijos įrodymą, siekdamas parodyti, kad „be leidimų” programos vis tiek turi prieigą prie įrenginio SD kortelės, telefono identifikavimo duomenų ir kitų programų saugomų failų.
SD kortelėje „Brodeur” programa pateikė visų neslėptų failų, įskaitant nuotraukas, atsargines kopijas ir išorinius konfigūracijos failus, sąrašą. Brodeuras sakė, kad nustatė, jog „OpenVPN” sertifikatai buvo saugomi jo įrenginio SD kortelėje.
„Nors įmanoma gauti visų šių failų turinį, palieku kam nors kitam nuspręsti, kuriuos failus reikia paimti, o kurie bus nuobodūs”, – sakė jis.
Tada jis paėmė failą /data/system/packages.list, į kurį buvo įdiegtos į įrenginį įdiegtos programos, ir nuskaitė katalogus, kad nustatytų, ar iš jų galima perskaityti jautrią informaciją. Atlikdamas bandymus jis sakė, kad galėjo perskaityti kai kuriuos kitoms programoms priklausančius failus. „Ši funkcija gali būti naudojama programoms, turinčioms silpnų leidimų pažeidžiamumų, pavyzdžiui, tokių, apie kuriuos buvo pranešta praėjusiais metais „Skype”, surasti”, – sakė jis.
Galiausiai Brodeuro programa galėjo surinkti telefono identifikavimo informaciją. Neturėdamos leidimo „PHONE_STATE”, programos negali perskaityti prietaiso tarptautinės mobiliosios įrangos tapatybės arba tarptautinės mobiliojo ryšio abonento tapatybės. Tačiau pasaulinės mobiliojo ryšio sistemos informaciją ir SIM kortelių pardavėjo ID vis tiek buvo galima perskaityti.
„Nors ši programa naudoja mygtukus trims skirtingiems pirmiau aprašytiems veiksmams aktyvuoti, bet kuri įdiegta programa gali atlikti šiuos veiksmus be jokios naudotojo sąveikos”, – rašė jis.
Brodeuras sakė, kad išbandė programą naudodamas „Android 4.0.3 Ice Cream Sandwich” ir „Android 2.3.5 Gingerbread”.
Šaltinis: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
