CA
Línia directa de servei
Un investigador de seguretat publica una aplicació de prova de concepte per demostrar un problema de seguretat al sistema operatiu mòbil de Google.
En gran part a causa de la manca de control d’aplicacions d’Android, el sistema operatiu mòbil de Google ha estat criticat per ser insegur.
Però ara sembla que les aplicacions sense permisos representen una nova amenaça, ja que obtenen accés a informació personal sensible sense autorització. L’investigador del Leviathan Security Group, Paul Brodeur, va explicar en una entrada de blog a principis d’aquesta setmana que va crear una prova de concepte per demostrar que les aplicacions “sense permisos” encara tenen accés a la targeta SD del dispositiu, a les dades d’identificació del telèfon i als fitxers emmagatzemats per altres aplicacions.
A la targeta SD, l’aplicació de Brodeur va generar una llista de tots els fitxers no ocults, incloent-hi fotos, còpies de seguretat i fitxers de configuració externs. Brodeur va dir que va descobrir que els certificats d’OpenVPN estaven emmagatzemats a la targeta SD del seu propi dispositiu.
“Tot i que és possible recuperar el contingut de tots aquests fitxers, deixaré que algú altre decideixi quins fitxers s’han d’agafar i quins seran avorrits”, va dir.
A continuació, va obtenir el fitxer /data/system/packages.list on s’havien instal·lat les aplicacions al dispositiu i va escanejar els directoris per determinar si es podia llegir informació confidencial d’aquests directoris. Durant les proves, va dir que podia llegir alguns fitxers pertanyents a altres aplicacions. “Aquesta funció es podria utilitzar per trobar aplicacions amb vulnerabilitats de permisos febles, com les que es van reportar a Skype l’any passat “, va dir.
Finalment, l’aplicació de Brodeur va poder recopilar la informació d’identificació del telèfon. Sense el permís “PHONE_STATE”, les aplicacions no poden llegir la Identitat Internacional d’Equip Mòbil ni la Identitat Internacional de Subscriptor Mòbil del dispositiu. Tanmateix, encara es podria llegir la informació del Sistema Global de Comunicacions Mòbils i els ID del proveïdor de la SIM.
“Tot i que aquesta aplicació utilitza botons per activar les tres accions diferents detallades anteriorment, és trivial que qualsevol aplicació instal·lada executi aquestes accions sense cap interacció de l’usuari”, va escriure.
Brodeur va dir que va provar l’aplicació amb Android 4.0.3 Ice Cream Sandwich i Android 2.3.5 Gingerbread.
Font: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
