page-loader

Android oferă aplicațiilor „fără permisiuni” acces la informații sensibile

Un cercetător în domeniul securității publică o aplicație „proof-of-concept” pentru a demonstra o problemă de securitate în sistemul de operare mobil al Google.

Datorită în mare parte istoricului Android de control lax al aplicațiilor, sistemul de operare mobil al Google a fost criticat ca fiind nesigur.

Dar acum se pare că aplicațiile fără permisiuni reprezintă o nouă amenințare, obținând acces la informații personale sensibile fără autorizație. Paul Brodeur, cercetător la Leviathan Security Group, a explicat într-o postare pe blog la începutul acestei săptămâni că a creat o dovadă de concept pentru a demonstra că aplicațiile „fără permisiuni” au în continuare acces la cardul SD al dispozitivului, la datele de identificare ale telefonului și la fișierele stocate de alte aplicații.

Pe cardul SD, aplicația lui Brodeur a produs o listă cu toate fișierele care nu sunt ascunse, inclusiv fotografii, copii de rezervă și fișiere de configurare externă. Brodeur a declarat că a descoperit că certificatele OpenVPN erau stocate pe cardul SD al propriului său dispozitiv.

„Cu toate că este posibil să extragem conținutul tuturor acestor fișiere, voi lăsa pe altcineva să decidă ce fișiere ar trebui să fie luate și care vor fi plictisitoare”, a spus el.

Apoi, el a preluat fișierul /data/system/packages.list în care erau instalate aplicațiile pe dispozitiv și a scanat directoarele pentru a determina dacă informațiile sensibile puteau fi citite din aceste directoare. El a spus că, în timpul testelor, a reușit să citească unele fișiere aparținând altor aplicații. „Această caracteristică ar putea fi folosită pentru a găsi aplicații cu vulnerabilități de permisiune slabă, cum ar fi cele care au fost raportate în Skype anul trecut„, a spus el.

În cele din urmă, aplicația lui Brodeur a reușit să colecteze informații de identificare a telefonului. Fără permisiunea „PHONE_STATE”, aplicațiile nu pot citi identitatea internațională a echipamentului mobil sau identitatea internațională a abonatului mobil al dispozitivului. Cu toate acestea, informațiile privind Sistemul global de comunicații mobile și ID-urile furnizorului SIM au putut fi în continuare citite.

„Deși această aplicație folosește butoane pentru a activa cele trei acțiuni diferite detaliate mai sus, este banal pentru orice aplicație instalată să execute aceste acțiuni fără nicio interacțiune cu utilizatorul”, a scris el.

Brodeur a declarat că a testat aplicația pe Android 4.0.3 Ice Cream Sandwich și Android 2.3.5 Gingerbread.

Sursa: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

cărucior
Magazin

Contactați

Sediul central

AppTec GmbH
St. Jakobs-Strasse 30
CH-4052 Basel
Elveția
Telefon: +41 (0) 61 511 32 10
Fax: +41 (0) 61 511 32 19

Email: info@apptec360.com

AppTec_Contact
rateus
Recomandați-ne
Go to Top