page-loader

Android cho phép các ứng dụng “không cần quyền” truy cập thông tin nhạy cảm.

Nhà nghiên cứu bảo mật công bố ứng dụng thử nghiệm nhằm chứng minh lỗ hổng bảo mật trong hệ điều hành di động của Google.

Phần lớn là do lịch sử quản lý ứng dụng lỏng lẻo của Android, hệ điều hành di động của Google đã bị chỉ trích là không an toàn.

Nhưng giờ đây, dường như các ứng dụng không có quyền truy cập lại gây ra mối đe dọa mới, chúng có thể truy cập vào thông tin cá nhân nhạy cảm mà không được phép. Nhà nghiên cứu Paul Brodeur của Leviathan Security Group đã giải thích trong một bài đăng trên blog đầu tuần này rằng ông đã tạo ra một bằng chứng về khả năng chứng minh rằng các ứng dụng “không có quyền” vẫn có thể truy cập vào thẻ SD của thiết bị, dữ liệu nhận dạng thiết bị cầm tay và các tệp được lưu trữ bởi các ứng dụng khác.

Trên thẻ SD, ứng dụng của Brodeur hiển thị danh sách tất cả các tệp không bị ẩn, bao gồm ảnh, bản sao lưu và các tệp cấu hình bên ngoài. Brodeur cho biết anh phát hiện ra rằng chứng chỉ OpenVPN được lưu trữ trên thẻ SD của thiết bị của mình.

“Mặc dù có thể lấy được nội dung của tất cả các tập tin đó, nhưng tôi sẽ để người khác quyết định xem nên lấy tập tin nào và tập tin nào sẽ nhàm chán”, anh ấy nói.

Sau đó, anh ta lấy tệp /data/system/packages.list chứa thông tin về các ứng dụng đã được cài đặt trên thiết bị và quét các thư mục để xác định xem có thể đọc được thông tin nhạy cảm từ các thư mục đó hay không. Anh ta cho biết trong quá trình thử nghiệm, anh ta đã có thể đọc được một số tệp thuộc về các ứng dụng khác. “Tính năng này có thể được sử dụng để tìm các ứng dụng có lỗ hổng về quyền truy cập yếu, chẳng hạn như những lỗ hổng đã được báo cáo trong Skype năm ngoái “, anh nói.

Cuối cùng, ứng dụng của Brodeur đã thu thập được thông tin nhận dạng của thiết bị cầm tay. Nếu không có quyền “PHONE_STATE”, các ứng dụng không thể đọc Mã nhận dạng thiết bị di động quốc tế (IMIE) hoặc Mã nhận dạng thuê bao di động quốc tế (IMSI) của thiết bị. Tuy nhiên, thông tin Hệ thống thông tin di động toàn cầu (GSM) và ID nhà cung cấp SIM vẫn có thể được đọc.

“Mặc dù ứng dụng này sử dụng các nút để kích hoạt ba hành động khác nhau được mô tả ở trên, nhưng bất kỳ ứng dụng nào đã được cài đặt đều có thể thực hiện các hành động này mà không cần sự tương tác của người dùng,” ông viết.

Brodeur cho biết anh đã thử nghiệm ứng dụng trên Android 4.0.3 Ice Cream Sandwich và Android 2.3.5 Gingerbread.

Nguồn: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

Tìm hiểu thêm thông tin về AppTec360°

Liên hệ
Sign Up For A Trial
Demo
Tải xuống Server VA
xe đẩy
Cửa hàng

Liên hệ

Trụ sở chính

Công ty TNHH AppTec
Đường St. Jakobs-Strasse 30
CH-4052 Basel
Thụy Sĩ
Điện thoại: +41 (0) 61 511 32 10
Fax: +41 (0) 61 511 32 19

Email: info@apptec360.com

Liên hệ
rateus
Hãy giới thiệu chúng tôi
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.
Go to Top