UK
Гаряча лінія сервісу
Дослідник безпеки опублікував додаток для демонстрації проблеми з безпекою в мобільній операційній системі Google.
Значною мірою завдяки історії слабкого контролю за додатками Android, мобільну операційну систему Google критикують як незахищену.
Але тепер виявляється, що додатки без дозволів становлять нову загрозу, отримуючи доступ до конфіденційної особистої інформації без дозволу. Дослідник Leviathan Security Group Пол Бродо (Paul Brodeur) пояснив у своєму блозі на початку цього тижня, що він створив перевірку концепції, щоб продемонструвати, що програми “без дозволів” все ще мають доступ до SD-карти пристрою, ідентифікаційних даних телефону та файлів, що зберігаються в інших програмах.
На SD-карті програма Brodeur видала список усіх неприхованих файлів, включно з фотографіями, резервними копіями та зовнішніми конфігураційними файлами. Бродо розповів, що виявив, що сертифікати OpenVPN зберігалися на SD-карті його власного пристрою.
“Хоча є можливість отримати вміст усіх цих файлів, я залишу комусь іншому вирішувати, які файли варто взяти, а які будуть нудними”, – сказав він.
Потім він отримав файл /data/system/packages.list, до якого були встановлені програми на пристрої, і просканував каталоги, щоб визначити, чи можна прочитати конфіденційну інформацію з цих каталогів. Під час тестування він повідомив, що зміг прочитати деякі файли, що належать іншим програмам. “Ця функція може бути використана для пошуку додатків зі слабкими вразливостями, такими як ті, про які повідомлялося в Skype в минулому році“, – сказав він.
Нарешті, додаток Brodeur зміг зібрати ідентифікаційну інформацію про телефон. Без дозволу “PHONE_STATE” програми не можуть зчитувати міжнародний ідентифікатор мобільного обладнання або міжнародний ідентифікатор мобільного абонента. Однак інформацію Глобальної системи мобільного зв’язку та ідентифікатори виробників SIM-карт все ще можна було прочитати.
“Хоча цей додаток використовує кнопки для активації трьох різних дій, описаних вище, для будь-якого встановленого додатку тривіально виконати ці дії без будь-якої взаємодії з користувачем”, – написав він.
За словами Бродо, він протестував додаток на Android 4.0.3 Ice Cream Sandwich та Android 2.3.5 Gingerbread.
Джерело: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
