Un chercheur en sécurité publie une application de preuve de concept pour démontrer le problème de sécurité dans le système d’exploitation mobile de Google.
Grâce en grande partie à l’histoire laxiste d’Android en matière de police des applications, le système d’exploitation mobile de Google a été critiqué comme non sécurisé.
Mais maintenant, il semble que les applications sans autorisations constituent une nouvelle menace, accédant à des informations personnelles sensibles sans autorisation. Paul Brodeur, chercheur au Leviathan Security Group, a expliqué dans un article de blog plus tôt cette semaine qu’il avait créé une preuve de concept pour démontrer que les applications « sans autorisation » ont toujours accès à la carte SD de l’appareil, aux données d’identification du combiné et aux fichiers stockés par d’autres applications.
Sur la carte SD, l’application de Brodeur a produit une liste de tous les fichiers non cachés, y compris les photos, les sauvegardes et les fichiers de configuration externes. Brodeur a déclaré qu’il avait découvert que les certificats OpenVPN étaient stockés sur la carte SD de son propre appareil.
« Bien qu’il soit possible de récupérer le contenu de tous ces fichiers, je laisserai à quelqu’un d’autre le soin de décider quels fichiers doivent être saisis et lesquels vont être ennuyeux », a-t-il déclaré.
Il a ensuite récupéré le fichier /data/system/packages.list dans lequel les applications étaient installées sur l’appareil et a analysé les répertoires pour déterminer si des informations sensibles pouvaient être lues à partir de ces répertoires. Il a dit pendant les tests qu’il était capable de lire certains fichiers appartenant à d’autres applications. « Cette fonctionnalité pourrait être utilisée pour trouver des applications présentant des vulnérabilités d’autorisation faibles, telles que celles signalées dans Skype l’année dernière », a-t-il déclaré.
Enfin, l’application de Brodeur a pu recueillir les informations d’identification du combiné. Sans l’autorisation « PHONE_STATE », les applications ne peuvent pas lire l’identité internationale de l’équipement mobile ou l’identité internationale de l’abonné mobile de l’appareil. Toutefois, les informations du Système mondial de communications mobiles et les identifiants des fournisseurs de cartes SIM pouvaient toujours être lus.
« Bien que cette application utilise des boutons pour activer les trois actions différentes détaillées ci-dessus, il est trivial pour toute application installée d’exécuter ces actions sans aucune interaction de l’utilisateur », a-t-il écrit.
Brodeur a dit avoir testé l’application sur Android 4.0.3 Ice Cream Sandwich et Android 2.3.5 Gingerbread.
Source : https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/