אנדרואיד מעניקה לאפליקציות "ללא הרשאות" גישה למידע רגיש

חוקר אבטחה פרסם אפליקציית הוכחת היתכנות כדי להדגים בעיית אבטחה במערכת ההפעלה לנייד של גוגל.

במידה רבה הודות להיסטוריה הרשלנית של אנדרואיד בפיקוח על אפליקציות, מערכת ההפעלה לנייד של גוגל ספגה ביקורת כלא מאובטחת.

אבל כעת נראה שאפליקציות ללא הרשאות מהוות איום חדש, ומקבלות גישה למידע אישי רגיש ללא אישור. חוקר בקבוצת האבטחה Leviathan, פול ברודור, הסביר בפוסט בבלוג מוקדם יותר השבוע כי יצר הוכחת היתכנות כדי להדגים שאפליקציות "ללא הרשאות" עדיין יכולות לגשת לכרטיס ה-SD של המכשיר, לנתוני זיהוי המכשיר ולקבצים המאוחסנים על ידי אפליקציות אחרות.

בכרטיס ה-SD, האפליקציה של ברודור הציגה רשימה של כל הקבצים שאינם מוסתרים, כולל תמונות, גיבויים וקבצי תצורה חיצוניים. ברודור אמר שהוא גילה שתעודות OpenVPN מאוחסנות בכרטיס ה-SD של המכשיר שלו.

"אמנם אפשר לאחזר את התוכן של כל הקבצים האלה, אבל אשאיר למישהו אחר להחליט אילו קבצים כדאי לאחזר ואילו יהיו משעממים", הוא אמר.

לאחר מכן הוא שלף את הקובץ /data/system/packages.list שבו הותקנו אפליקציות במכשיר וסרק את הספריות כדי לקבוע אם ניתן לקרוא מידע רגיש מהן. הוא אמר שבמהלך הבדיקה הוא הצליח לקרוא קבצים מסוימים השייכים לאפליקציות אחרות. "ניתן להשתמש בתכונה זו כדי למצוא אפליקציות עם פגיעויות של הרשאות חלשות, כמו אלו שדווחו בסקייפ בשנה שעברה ", אמר.

לבסוף, אפליקציית Brodeur הצליחה לאסוף את פרטי הזיהוי של המכשיר. ללא הרשאת "PHONE_STATE", אפליקציות לא יוכלו לקרוא את זהות הציוד הנייד הבינלאומית (International Mobile Equipment Identity) או את זהות המנוי הנייד הבינלאומית (International Mobile Subscriber Identity) של המכשיר. עם זאת, עדיין ניתן היה לקרוא את פרטי המערכת הגלובלית לתקשורת סלולרית (Global System for Mobile Communications) ואת מזהי ספק ה-SIM.

"למרות שאפליקציה זו משתמשת בכפתורים כדי להפעיל את שלוש הפעולות השונות המפורטות לעיל, קל לכל אפליקציה מותקנת לבצע פעולות אלו ללא כל התערבות של המשתמש", כתב.

ברודור אמר שהוא בדק את האפליקציה על אנדרואיד 4.0.3 Ice Cream Sandwich ועל אנדרואיד 2.3.5 Gingerbread.

מקור: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/