Peneliti keamanan mempublikasikan aplikasi proof-of-concept untuk mendemonstrasikan masalah keamanan di sistem operasi mobile Google.
Sebagian besar karena sejarah Android yang lemah dalam hal pengawasan aplikasi, sistem operasi seluler Google telah dikritik sebagai sistem operasi yang tidak aman.
Namun, kini tampaknya aplikasi tanpa izin menimbulkan ancaman baru, yaitu mendapatkan akses ke informasi pribadi yang sensitif tanpa izin. Peneliti Leviathan Security Group, Paul Brodeur, menjelaskan dalam sebuah posting blog awal pekan ini bahwa dia menciptakan sebuah bukti konsep untuk menunjukkan bahwa aplikasi “tanpa izin” masih memiliki akses ke kartu SD perangkat, data identifikasi handset, dan file yang disimpan oleh aplikasi lain.
Pada kartu SD, aplikasi Brodeur menghasilkan daftar semua file yang tidak tersembunyi, termasuk foto, cadangan, dan file konfigurasi eksternal. Brodeur mengatakan bahwa dia menemukan bahwa sertifikat OpenVPN disimpan pada kartu SD perangkatnya sendiri.
“Meskipun memungkinkan untuk mengambil isi dari semua file tersebut, saya akan menyerahkannya kepada orang lain untuk memutuskan file mana yang harus diambil dan mana yang akan membosankan,” katanya.
Dia kemudian mengambil file /data/system/packages.list ke aplikasi mana yang diinstal pada perangkat dan memindai direktori untuk menentukan apakah informasi sensitif dapat dibaca dari direktori tersebut. Dia mengatakan selama pengujian bahwa dia dapat membaca beberapa file milik aplikasi lain. “Fitur ini dapat digunakan untuk menemukan aplikasi dengan kerentanan izin yang lemah, seperti yang dilaporkan di Skype tahun lalu,” katanya.
Terakhir, aplikasi Brodeur mampu mengumpulkan informasi identifikasi handset. Tanpa izin “PHONE_STATE”, aplikasi tidak dapat membaca Identitas Peralatan Seluler Internasional atau Identitas Pelanggan Seluler Internasional perangkat. Namun, informasi Global System for Mobile Communications dan ID vendor SIM masih dapat dibaca.
“Meskipun aplikasi ini menggunakan tombol untuk mengaktifkan tiga tindakan berbeda yang dijelaskan di atas, namun sangat mudah bagi aplikasi yang terinstal untuk menjalankan tindakan ini tanpa interaksi pengguna,” tulisnya.
Brodeur mengatakan bahwa dia menguji aplikasi ini pada Android 4.0.3 Ice Cream Sandwich dan Android 2.3.5 Gingerbread.
Sumber: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/