PT-BR
Linha direta de serviço
Pesquisador de segurança publica aplicativo de prova de conceito para demonstrar problema de segurança no sistema operacional móvel do Google.
Graças, em grande parte, ao histórico do Android de policiamento frouxo de aplicativos, o sistema operacional móvel do Google tem sido criticado como inseguro.
Mas agora parece que os aplicativos sem permissões representam uma nova ameaça, obtendo acesso a informações pessoais confidenciais sem autorização. O pesquisador do Leviathan Security Group, Paul Brodeur, explicou em um post de blog no início desta semana que ele criou uma prova de conceito para demonstrar que os aplicativos “sem permissões” ainda têm acesso ao cartão SD do dispositivo, aos dados de identificação do aparelho e aos arquivos armazenados por outros aplicativos.
No cartão SD, o aplicativo de Brodeur produziu uma lista de todos os arquivos não ocultos, incluindo fotos, backups e arquivos de configuração externa. Brodeur disse que descobriu que os certificados OpenVPN estavam armazenados no cartão SD de seu próprio dispositivo.
“Embora seja possível obter o conteúdo de todos esses arquivos, deixarei que outra pessoa decida quais arquivos devem ser obtidos e quais serão chatos”, disse ele.
Em seguida, ele buscou o arquivo /data/system/packages.list no qual os aplicativos estavam instalados no dispositivo e examinou os diretórios para determinar se informações confidenciais poderiam ser lidas nesses diretórios. Durante os testes, ele disse que conseguiu ler alguns arquivos pertencentes a outros aplicativos. “Esse recurso poderia ser usado para encontrar aplicativos com vulnerabilidades de permissão fraca, como as que foram relatadas no Skype no ano passado“, disse ele.
Por fim, o aplicativo de Brodeur conseguiu coletar as informações de identificação do aparelho. Sem a permissão “PHONE_STATE”, os aplicativos não podem ler a Identidade Internacional de Equipamento Móvel ou a Identidade Internacional de Assinante Móvel do dispositivo. No entanto, as informações do Global System for Mobile Communications e as IDs do fornecedor do SIM ainda podem ser lidas.
“Embora este aplicativo use botões para ativar as três ações diferentes detalhadas acima, é trivial para qualquer aplicativo instalado executar essas ações sem qualquer interação do usuário”, escreveu ele.
Brodeur disse que testou o aplicativo no Android 4.0.3 Ice Cream Sandwich e no Android 2.3.5 Gingerbread.
Fonte: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
