Najnovší v nekonečnom príbehu zabezpečenia systému Android je preč a tentoraz sa hovorí o tom, čo má aplikácia k dispozícii, ak nevyhlási žiadne povolenia. (Inými slovami, to, čo môže vidieť celá aplikácia, ak nepožaduje žiadnu z normálnych požiadaviek na funkčnosť aplikácií.) Niektorí ľudia robia to, aby sa nemuseli obávať, iní ju používajú vo svojom úsilí o zatratenie sveta najobľúbenejší OS mobilných telefónov, ale my s tým najlepšie myslíme, je vysvetliť, čo sa deje.
Skupina výskumných pracovníkov v oblasti bezpečnosti sa rozhodla vytvoriť aplikáciu, ktorá nevyhlasuje žiadne povolenia na presné zistenie, aké informácie by mohli získať zo systému Android, na ktorom bežali. Takéto veci sa robia každý deň a čím je cieľ populárnejší, tým viac ľudí naň pozerá. Skutočne od nich chceme, aby urobili niečo také a ľudia čas od času nájdu veci, ktoré sú kritické a ktoré je potrebné opraviť. Každý má úžitok.
Tentokrát zistili, že aplikácia bez povolení (ako v žiadnom, nada, zilch) by mohla robiť tri veľmi zaujímavé veci. Žiadna z nich nie je vážna, ale všetci stoja za to sa na ňu pozrieť. Začneme s kartou SD.
Každá aplikácia dokáže čítať údaje na SD karte. Vždy to tak bolo a vždy to tak bude. (Zápis na kartu SD vyžaduje povolenie.) Nástroje sú k dispozícii na vytváranie bezpečných, skrytých priečinkov a ich ochranu pred inými aplikáciami, ale v predvolenom nastavení sú všetky údaje zapísané na kartu SD k dispozícii pre všetky aplikácie. Je to zámerné, pretože chceme, aby náš počítač mal prístup k všetkým údajom na zdieľateľných oddieloch (ako sú karty SD), keď ich zapojíme. Novšie verzie systému Android používajú odlišnú metódu rozdelenia a iný spôsob zdieľania údajov, ktoré sa sťahujú preč z toho, ale potom sa všetci pustíme do práce s používaním MTP. (Ak nie ste Phil, ale v MTP má trochu orechy.) Toto je ľahká oprava - na SD kartu nedávajte citlivé údaje. Nepoužívajte aplikácie, ktoré kladú citlivé údaje na vašu SD kartu. Potom prestajte robiť starosti s tým, že programy budú schopné vidieť údaje, ktoré majú vidieť.
Ďalšia vec, ktorú našli, je skutočne zaujímavá, ak ste geek - súbor dokáže prečítať súbor /data/system/packages.list bez výslovného povolenia. To samo osebe nepredstavuje žiadnu hrozbu, ale vedieť, aké aplikácie má používateľ nainštalovaný, je vynikajúci spôsob, ako zistiť, aké výhody môžu byť užitočné pri ohrození ich telefónu alebo tabletu. Pomysli na zraniteľné miesta v iných aplikáciách - príkladom, ktorý používali vedci, bol Skype. Keďže vie, že existuje zneužitie, znamená to, že sa naň mohol útočník pokúsiť zamerať. Za zmienku stojí, že na zacielenie na známu nezabezpečenú aplikáciu by však bolo pravdepodobne potrebné určité povolenie. (A stojí za to pripomenúť ľuďom, že spoločnosť Skype rýchlo uznala a opravila problém s povoleniami.)
Nakoniec zistili, že adresár / proc poskytuje pri dopyte trochu údajov. Ich príklad ukazuje, že dokážu čítať veci ako Android ID, verziu jadra a verziu ROM. V adresári / proc je oveľa viac, ale musíme si uvedomiť, že / proc nie je skutočný systém súborov. Pozerajte sa na svoje pomocou prieskumníka root - je plný 0-bajtových súborov vytvorených za behu a je určený pre aplikácie a softvér na komunikáciu s bežiacim jadrom. Nie sú tam uložené žiadne skutočné citlivé údaje a všetky sa vymažú a prepíšu, keď je telefón napájaný z batérie. Ak sa obávate, že niekto môže nájsť vašu verziu jadra alebo 16-ciferné ID systému Android, stále máte problémy s odosielaním týchto informácií kamkoľvek bez výslovného internetového povolenia.
Teší nás, že sa ľudia hlboko vykopávajú, aby našli tieto druhy problémov. Aj keď to podľa vážnej definície nie je kritické, je dobré informovať ich o nich Google. Vedci, ktorí robia takýto druh práce, môžu všetko urobiť pre všetkých bezpečnejšie a lepšie. A musíme zdôrazniť, že kolegovia v Leviatanoch nehovoria o záhubosti a chmúrnosti, iba užitočne prezentujú fakty - záhuba a múza pochádza z vonkajších zdrojov.
Zdroj: Leviathan Security Group
