page-loader

Android aplikacijam brez dovoljenj omogoča dostop do občutljivih podatkov

Varnostni raziskovalec je objavil preizkusno aplikacijo za prikaz varnostne težave v Googlovem mobilnem operacijskem sistemu.

Googlov mobilni operacijski sistem Android je bil v preteklosti zaradi pomanjkljivega nadzora nad aplikacijami v veliki meri kritiziran kot nezanesljiv.

Zdaj pa se zdi, da aplikacije brez dovoljenj predstavljajo novo grožnjo, saj lahko brez dovoljenja dostopajo do občutljivih osebnih podatkov. Raziskovalec skupine Leviathan Security Group Paul Brodeur je v začetku tedna v svojem prispevku v spletnem dnevniku pojasnil, da je ustvaril koncept, s katerim je dokazal, da imajo aplikacije brez dovoljenj še vedno dostop do kartice SD naprave, identifikacijskih podatkov telefona in datotek, ki jih shranjujejo druge aplikacije.

Brodeurjeva aplikacija je na kartici SD prikazala seznam vseh datotek, ki niso skrite, vključno s fotografijami, varnostnimi kopijami in zunanjimi konfiguracijskimi datotekami. Brodeur je dejal, da je ugotovil, da so bili certifikati OpenVPN shranjeni na kartici SD njegove naprave.

“Čeprav je mogoče pridobiti vsebino vseh teh datotek, bom prepustil nekomu drugemu, da odloči, katere datoteke je treba zajeti in katere bodo dolgočasne,” je dejal.

Nato je poiskal datoteko /data/system/packages.list, v katero so bile nameščene aplikacije v napravi, in pregledal imenike, da bi ugotovil, ali je iz teh imenikov mogoče prebrati občutljive informacije. Med testiranjem je dejal, da je lahko prebral nekatere datoteke, ki pripadajo drugim aplikacijam. “To funkcijo bi lahko uporabili za iskanje aplikacij z ranljivostmi s šibkimi pooblastili, kot so tiste, o katerih so lani poročali v Skypu,” je dejal.

Nazadnje je Brodeurjeva aplikacija lahko zbrala identifikacijske podatke telefona. Brez dovoljenja “PHONE_STATE” aplikacije ne morejo prebrati mednarodne identitete mobilne opreme ali mednarodne identitete mobilnega naročnika naprave. Vendar je bilo še vedno mogoče prebrati podatke o globalnem sistemu mobilnih komunikacij in identifikacijske številke prodajalca SIM.

“Čeprav ta aplikacija uporablja gumbe za aktiviranje treh različnih dejanj, opisanih zgoraj, lahko katera koli nameščena aplikacija ta dejanja izvede brez interakcije z uporabnikom,” je zapisal.

Brodeur je povedal, da je aplikacijo preizkusil v operacijskih sistemih Android 4.0.3 Ice Cream Sandwich in Android 2.3.5 Gingerbread.

Vir: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

voziček
Trgovina

Kontakt

Sedež

AppTec GmbH
St. Jakobs-Strasse 30
CH-4052 Basel
Schweiz
Telefon: +41 (0) 61 511 32 10
Faks: +41 (0) 61 511 32 19

E-naslov: info@apptec360.com

rateus
Priporočite nas
Go to Top