FI
Palvelun vihjelinja
Tietoturvatutkija julkaisee proof-of-concept -sovelluksen osoittaakseen Googlen mobiilikäyttöjärjestelmän tietoturvaongelman.
Googlen mobiilikäyttöjärjestelmää on kritisoitu turvattomaksi suurelta osin siksi, että Androidin sovellusten valvonta on ollut löyhää.
Nyt näyttää kuitenkin siltä, että sovellukset, joilla ei ole käyttöoikeuksia, ovat uusi uhka, sillä ne pääsevät käsiksi arkaluonteisiin henkilökohtaisiin tietoihin ilman lupaa. Leviathan Security Groupin tutkija Paul Brodeur selitti blogikirjoituksessaan aiemmin tällä viikolla, että hän loi proof-of-conceptin osoittaakseen, että ”ilman käyttöoikeuksia” -sovelluksilla on edelleen pääsy laitteen SD-kortille, luurin tunnistetietoihin ja muiden sovellusten tallentamiin tiedostoihin.
Brodeurin sovellus näytti SD-kortilla luettelon kaikista muista kuin piilotetuista tiedostoista, kuten valokuvista, varmuuskopioista ja ulkoisista asetustiedostoista. Brodeur kertoi havainneensa, että OpenVPN-varmenteet oli tallennettu hänen oman laitteensa SD-kortille.
”Vaikka kaikkien näiden tiedostojen sisältö on mahdollista hakea, jätän jonkun muun päätettäväksi, mitkä tiedostot kannattaa napata ja mitkä ovat tylsiä”, hän sanoi.
Sen jälkeen hän haki /data/system/packages.list-tiedoston, johon sovellukset oli asennettu laitteeseen, ja skannasi hakemistot selvittääkseen, voiko niistä lukea arkaluonteisia tietoja. Hän sanoi testauksen aikana, että hän pystyi lukemaan joitakin muiden sovellusten tiedostoja. ”Tätä ominaisuutta voidaan käyttää sellaisten sovellusten löytämiseen, joissa on heikkojen käyttöoikeuksien haavoittuvuuksia, kuten viime vuonna Skypessä raportoituja haavoittuvuuksia”, hän sanoi.
Lopuksi Brodeurin sovellus pystyi keräämään luurin tunnistetiedot. Ilman ”PHONE_STATE”-oikeutta sovellukset eivät voi lukea laitteen kansainvälistä matkaviestinlaitetunnusta tai kansainvälistä matkaviestintilaajatunnusta. Global System for Mobile Communications -järjestelmän tiedot ja SIM-kortin valmistajan tunnukset voitiin kuitenkin edelleen lukea.
”Vaikka tässä sovelluksessa käytetään painikkeita edellä mainittujen kolmen eri toiminnon aktivoimiseen, mikä tahansa asennettu sovellus voi suorittaa nämä toiminnot ilman käyttäjän vuorovaikutusta”, hän kirjoitti.
Brodeur sanoi testanneensa sovellusta Android 4.0.3 Ice Cream Sandwich- ja Android 2.3.5 Gingerbread -käyttöjärjestelmillä.
Lähde: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
