Cymraeg
Llinell Gymorth Gwasanaeth
Ymchwilydd diogelwch yn cyhoeddi ap prawf-o-gysyniad i ddangos problem diogelwch yn system weithredu symudol Google.
Diolch i raddau helaeth i hanes Android o blismona apiau llac, mae system weithredu symudol Google wedi cael ei beirniadu fel un anddiogel.
Ond nawr mae’n ymddangos bod apiau heb ganiatâd yn peri bygythiad newydd, gan gael mynediad at wybodaeth bersonol sensitif heb awdurdodiad. Esboniodd ymchwilydd Grŵp Diogelwch Leviathan, Paul Brodeur, mewn postiad blog yn gynharach yr wythnos hon ei fod wedi creu prawf-o-gysyniad i ddangos bod gan apiau “dim caniatâd” fynediad o hyd at gerdyn SD y ddyfais, data adnabod ffôn llaw, a ffeiliau sydd wedi’u storio gan apiau eraill.
Ar y cerdyn SD, dangosodd ap Brodeur restr o’r holl ffeiliau nad oeddent yn guddiedig, gan gynnwys lluniau, copïau wrth gefn, a ffeiliau ffurfweddu allanol. Dywedodd Brodeur ei fod wedi canfod bod tystysgrifau OpenVPN wedi’u storio ar gerdyn SD ei ddyfais ei hun.
“Er ei bod hi’n bosibl nôl cynnwys yr holl ffeiliau hynny, byddaf yn ei adael i rywun arall benderfynu pa ffeiliau y dylid eu cipio a pha rai fydd yn ddiflas,” meddai.
Yna fe nôlodd y ffeil /data/system/packages.list lle’r oedd apiau wedi’u gosod ar y ddyfais a sganiodd y cyfeiriaduron i benderfynu a ellid darllen gwybodaeth sensitif o’r cyfeiriaduron hynny. Dywedodd yn ystod y profion ei fod yn gallu darllen rhai ffeiliau sy’n perthyn i apiau eraill. “Gellid defnyddio’r nodwedd hon i ddod o hyd i apiau â gwendidau caniatâd gwan, fel y rhai a adroddwyd yn Skype y llynedd ,” meddai.
Yn olaf, llwyddodd ap Brodeur i gasglu gwybodaeth adnabod y ffôn llaw. Heb y caniatâd “PHONE_STATE”, ni all apiau ddarllen Hunaniaeth Offer Symudol Rhyngwladol na Hunaniaeth Tanysgrifiwr Symudol Rhyngwladol y ddyfais. Fodd bynnag, gellid dal darllen gwybodaeth y System Fyd-eang ar gyfer Cyfathrebu Symudol ac IDau gwerthwyr SIM.
“Er bod yr ap hwn yn defnyddio botymau i actifadu’r tri gweithred wahanol a nodir uchod, mae’n hawdd i unrhyw ap sydd wedi’i osod gyflawni’r gweithredoedd hyn heb unrhyw ryngweithio â’r defnyddiwr,” ysgrifennodd.
Dywedodd Brodeur ei fod wedi profi’r ap ar Android 4.0.3 Ice Cream Sandwich ac Android 2.3.5 Gingerbread.
Ffynhonnell: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
