LV
Pakalpojumu karstā līnija
Drošības pētnieks publicē konceptuālu lietotni, lai demonstrētu drošības problēmu Google mobilajā operētājsistēmā.
Lielā mērā pateicoties tam, ka Android vēsturē ir bijusi pavirša lietotņu uzraudzība, Google mobilā operētājsistēma ir kritizēta kā nedroša.
Taču tagad izrādās, ka lietotnes bez atļaujām rada jaunus draudus, jo bez atļaujas var piekļūt sensitīvai personas informācijai. Leviathan Security Group pētnieks Pols Brodeurs (Paul Brodeur) šīs nedēļas sākumā bloga ierakstā paskaidroja, ka viņš ir izveidojis koncepcijas pierādījumu, lai demonstrētu, ka “bezatļauju” lietotnēm joprojām ir piekļuve ierīces SD kartei, tālruņa identifikācijas datiem un citu lietotņu saglabātajiem failiem.
SD kartē Brodeur lietotne parādīja sarakstu ar visiem neslēptajiem failiem, tostarp fotoattēliem, dublējumiem un ārējiem konfigurācijas failiem. Brodeur teica, ka viņš atklāja, ka OpenVPN sertifikāti ir saglabāti viņa paša ierīces SD kartē.
“Lai gan ir iespējams iegūt visu šo failu saturu, es atstāšu kādam citam izlemt, kuri faili ir jāpaņem un kuri būs garlaicīgi,” viņš teica.
Pēc tam viņš ieguva /data/system/packages.list failu, kurā bija instalētas ierīcē instalētās programmas, un skenēja direktorijus, lai noteiktu, vai no šiem direktorijiem var nolasīt sensitīvu informāciju. Testēšanas laikā viņš teica, ka varēja nolasīt dažus failus, kas pieder citām programmām. “Šo funkciju varētu izmantot, lai atrastu lietotnes ar vājām piekļuves nepilnībām, piemēram, tādām, par kādām tika ziņots pagājušajā gadā Skype,” viņš teica.
Visbeidzot, Brodeur lietotne spēja apkopot tālruņa identifikācijas informāciju. Bez atļaujas “PHONE_STATE” lietojumprogrammas nevar nolasīt ierīces starptautiskā mobilā aprīkojuma identitāti vai starptautiskā mobilā abonenta identitāti. Tomēr joprojām bija iespējams nolasīt globālās mobilo sakaru sistēmas informāciju un SIM karšu piegādātāja identifikatorus.
“Lai gan šajā lietotnē tiek izmantotas pogas, lai aktivizētu trīs dažādas iepriekš aprakstītās darbības, ir triviāli, ka jebkura instalēta lietotne var veikt šīs darbības bez lietotāja mijiedarbības,” viņš rakstīja.
Brodeurs teica, ka viņš testējis lietotni operētājsistēmā Android 4.0.3 Ice Cream Sandwich un Android 2.3.5 Gingerbread.
Avots: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
