Android gëtt Apps ouni “Berechtegungen” Zougang zu sensiblen Informatiounen

Sécherheetsfuerscher publizéiert Proof-of-Concept-App fir Sécherheetsproblemer am mobilen Betribssystem vu Google ze demonstréieren.

Haaptsächlech dank der Geschicht vun Android senger laxer App-Police gouf Google säi mobilt Betribssystem als onsécher kritiséiert.

Mee elo schéngt et, datt Apps ouni Berechtigungen eng nei Bedrohung duerstellen, andeems se ouni Autorisatioun Zougang zu sensiblen perséinlechen Informatiounen kréien. De Fuerscher vun der Leviathan Security Group, de Paul Brodeur, huet an engem Blogpost fréier dës Woch erkläert , datt hien e Proof-of-Concept erstallt huet, fir ze weisen, datt Apps ouni Berechtigungen ëmmer nach Zougang zu der SD-Kaart vum Apparat, den Identifikatiounsdaten vum Handy an de Dateien hunn, déi vun aneren Apps gespäichert sinn.

Op der SD-Kaart huet d’App vum Brodeur eng Lëscht vun allen net-verstoppte Dateien ugewisen, dorënner Fotoen, Backups an extern Konfiguratiounsdateien. De Brodeur sot, hie hätt festgestallt, datt OpenVPN-Zertifikater op der SD-Kaart vu sengem eegenen Apparat gespäichert waren.

„Obwuel et méiglech ass, den Inhalt vun all deene Fichieren ofzeruffen, iwwerloossen ech et engem aneren ze entscheeden, wéi eng Fichieren ofgeruff solle ginn a wéi eng langweileg sinn“, sot hien.

Duerno huet hien d’Datei /data/system/packages.list erofgelueden, an där Apps um Apparat installéiert waren, an d’Verzeichnisser gescannt, fir festzestellen, ob sensibel Informatioune vun dësen Verzeichnisser gelies kënne ginn. Hie sot beim Testen, datt hie fäeg war, e puer Dateien ze liesen, déi zu aneren Apps gehéieren. “Dës Funktioun kéint benotzt ginn, fir Apps mat Schwachstelle fir schwaach Berechtigungen ze fannen, wéi déi, déi d’lescht Joer bei Skype gemellt goufen”, sot hien.

Schlussendlech konnt d’App vu Brodeur d’Identifikatiounsinformatioune vum Handy sammelen. Ouni d’Berechtegung “PHONE_STATE” kënnen d’Applikatiounen d’International Mobile Equipment Identity oder d’International Mobile Subscriber Identity vum Apparat net liesen. D’Informatioune vum Global System for Mobile Communications an d’SIM-Verkeefer-IDen konnten awer nach ëmmer gelies ginn.

„Obwuel dës App Knäppercher benotzt fir déi dräi verschidden Aktiounen, déi uewe beschriwwe sinn, z’aktivéieren, ass et fir all installéiert App trivial, dës Aktiounen ouni Benotzerinteraktioun auszeféieren“, huet hien geschriwwen.

De Brodeur sot, hie hätt d’App op Android 4.0.3 Ice Cream Sandwich an Android 2.3.5 Gingerbread getest.

Quell: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/