SR
Сервисна линија
Истраживач безбедности објављује апликацију за доказивање концепта како би демонстрирао безбедносни проблем у мобилном оперативном систему компаније Google.
У великој мери захваљујући Андроидовој историји лабавог контролисања апликација, Гуглов мобилни оперативни систем је критикован као небезбедан.
Али сада се чини да апликације без дозвола представљају нову претњу, добијајући приступ осетљивим личним подацима без овлашћења. Истраживач групе за безбедност Левијатан, Пол Бродер, објаснио је у блог посту раније ове недеље да је креирао доказ концепта како би показао да апликације „без дозвола“ и даље имају приступ СД картици уређаја, подацима за идентификацију телефона и датотекама које чувају друге апликације.
На SD картици, Бродерова апликација је дала листу свих датотека које нису скривене, укључујући фотографије, резервне копије и екстерне конфигурационе датотеке. Бродер је рекао да је открио да су OpenVPN сертификати били сачувани на SD картици његовог уређаја.
„Иако је могуће преузети садржај свих тих датотека, препустићу неком другом да одлучи које датотеке треба преузети, а које ће бити досадне“, рекао је.
Затим је преузео датотеку /data/system/packages.list у којој су апликације инсталиране на уређају и скенирао директоријуме како би утврдио да ли се осетљиве информације могу прочитати из тих директоријума. Рекао је да је током тестирања успео да прочита неке датотеке које припадају другим апликацијама. „Ова функција би се могла користити за проналажење апликација са рањивостима слабих дозвола, попут оних које су пријављене у Скајпу прошле године “, рекао је.
Коначно, Бродеурова апликација је успела да прикупи идентификационе информације телефона. Без дозволе „PHONE_STATE“, апликације не могу да прочитају Међународни идентитет мобилне опреме (International Mobile Equipment Identity) или Међународни идентитет мобилног претплатника (International Mobile Subscriber Identity). Међутим, информације о Глобалном систему за мобилне комуникације (Global System for Mobile Communications) и ИД-ови добављача SIM картица су и даље могли да се прочитају.
„Иако ова апликација користи дугмад за активирање три различите радње детаљно описане горе, тривијално је за било коју инсталирану апликацију да изврши ове радње без икакве интеракције корисника“, написао је.
Бродер је рекао да је тестирао апликацију на Андроиду 4.0.3 Ice Cream Sandwich и Андроиду 2.3.5 Gingerbread.
Извор: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
