TR
Hizmet Hattı
Güvenlik araştırmacısı, Google’ın mobil işletim sistemindeki güvenlik sorununu göstermek için kavram kanıtı uygulaması yayınladı.
Büyük ölçüde Android’in gevşek uygulama denetimi geçmişi sayesinde, Google’ın mobil işletim sistemi güvensiz olmakla eleştirildi.
Ancak şimdi, izinleri olmayan uygulamaların yeni bir tehdit oluşturduğu ve yetkilendirme olmadan hassas kişisel bilgilere erişim sağladığı görülüyor. Leviathan Security Group araştırmacısı Paul Brodeur, bu hafta başında yayınladığı bir blog yazısında, “izinsiz” uygulamaların cihazın SD kartına, ahize kimlik verilerine ve diğer uygulamalar tarafından depolanan dosyalara hala erişebildiğini göstermek için bir kavram kanıtı oluşturduğunu açıkladı.
SD kartta, Brodeur’un uygulaması fotoğraflar, yedeklemeler ve harici yapılandırma dosyaları da dahil olmak üzere gizli olmayan tüm dosyaların bir listesini verdi. Brodeur, OpenVPN sertifikalarının kendi cihazının SD kartında depolandığını tespit ettiğini söyledi.
“Tüm bu dosyaların içeriğini almak mümkün olsa da, hangi dosyaların alınması gerektiğine ve hangilerinin sıkıcı olacağına karar vermeyi başka birine bırakacağım” dedi.
Daha sonra cihazda uygulamaların yüklü olduğu /data/system/packages.list dosyasını getirmiş ve bu dizinlerden hassas bilgilerin okunup okunamayacağını belirlemek için dizinleri taramıştır. Test sırasında diğer uygulamalara ait bazı dosyaları okuyabildiğini söyledi. “Bu özellik, geçen yıl Skype’ta bildirilenler gibi zayıf izinli güvenlik açıklarına sahip uygulamaları bulmak için kullanılabilir” dedi.
Son olarak, Brodeur’un uygulaması telefonun kimlik bilgilerini toplamayı başardı. “PHONE_STATE” izni olmadan, uygulamalar cihazın Uluslararası Mobil Ekipman Kimliğini veya Uluslararası Mobil Abone Kimliğini okuyamaz. Ancak, Mobil İletişim için Küresel Sistem bilgileri ve SIM satıcı kimlikleri hala okunabiliyordu.
“Bu uygulama yukarıda ayrıntıları verilen üç farklı eylemi etkinleştirmek için düğmeler kullansa da, yüklü herhangi bir uygulamanın herhangi bir kullanıcı etkileşimi olmadan bu eylemleri gerçekleştirmesi önemsizdir” diye yazdı.
Brodeur uygulamayı Android 4.0.3 Ice Cream Sandwich ve Android 2.3.5 Gingerbread üzerinde test ettiğini söyledi.
Kaynak: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
