SQ
Linja e Shërbimit
Një studiues i sigurisë publikon një aplikacion që vërteton konceptin për të demonstruar problemin e sigurisë në sistemin operativ celular të Google.
Falë pjesërisht historisë së kontrollit të dobët të aplikacioneve nga Android, sistemi operativ celular i Google është kritikuar si i pasigurt.
Por tani duket se aplikacionet pa leje përbëjnë një kërcënim të ri, duke fituar akses në informacione personale të ndjeshme pa autorizim. Studiuesi i Leviathan Security Group, Paul Brodeur, shpjegoi në një postim në blog më herët këtë javë se ai krijoi një provë koncepti për të demonstruar se aplikacionet “pa leje” ende kanë akses në kartën SD të pajisjes, të dhënat e identifikimit të celularit dhe skedarët e ruajtur nga aplikacione të tjera.
Në kartën SD, aplikacioni i Brodeur dha një listë të të gjithë skedarëve jo të fshehur, duke përfshirë foto, kopje rezervë dhe skedarë konfigurimi të jashtëm. Brodeur tha se zbuloi se certifikatat OpenVPN ishin ruajtur në kartën SD të pajisjes së tij.
“Ndërsa është e mundur të gjej përmbajtjen e të gjitha këtyre skedarëve, do t’ia lë dikujt tjetër të vendosë se cilët skedarë duhen marrë dhe cilët do të jenë të mërzitshëm”, tha ai.
Pastaj ai mori skedarin /data/system/packages.list në të cilin ishin instaluar aplikacionet në pajisje dhe skanoi drejtoritë për të përcaktuar nëse informacionet e ndjeshme mund të lexoheshin nga ato drejtori. Ai tha gjatë testimit se ishte në gjendje të lexonte disa skedarë që i përkisnin aplikacioneve të tjera. “Kjo veçori mund të përdoret për të gjetur aplikacione me dobësi të lejeve të dobëta, të tilla si ato që u raportuan në Skype vitin e kaluar “, tha ai.
Së fundmi, aplikacioni i Brodeur ishte në gjendje të mblidhte informacionin e identifikimit të celularit. Pa lejen “PHONE_STATE”, aplikacionet nuk mund ta lexojnë Identitetin Ndërkombëtar të Pajisjeve Mobile ose Identitetin Ndërkombëtar të Abonentit Mobile të pajisjes. Megjithatë, informacioni i Sistemit Global për Komunikimet Mobile dhe ID-të e shitësve të kartës SIM mund të lexohen ende.
“Edhe pse ky aplikacion përdor butona për të aktivizuar tre veprimet e ndryshme të detajuara më sipër, është e lehtë për çdo aplikacion të instaluar t’i ekzekutojë këto veprime pa ndërveprimin e përdoruesit”, shkroi ai.
Brodeur tha se e testoi aplikacionin në Android 4.0.3 Ice Cream Sandwich dhe Android 2.3.5 Gingerbread.
Burimi: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
