Beveiligingsonderzoeker publiceert proof-of-concept app om beveiligingsprobleem in Google’s mobiele besturingssysteem aan te tonen.
Google’s mobiele besturingssysteem is bekritiseerd als onveilig, wat voor een groot deel te danken is aan Android’s geschiedenis van lakse app-controle.
Maar nu blijkt dat apps zonder toestemmingen een nieuwe bedreiging vormen en zonder toestemming toegang krijgen tot gevoelige persoonlijke informatie. Onderzoeker Paul Brodeur van de Leviathan Security Group legde eerder deze week in een blogpost uit dat hij een proof-of-concept had gemaakt om aan te tonen dat apps zonder rechten nog steeds toegang hebben tot de SD-kaart van het apparaat, de identificatiegegevens van de handset en bestanden die door andere apps zijn opgeslagen.
Op de SD-kaart gaf de app van Brodeur een lijst van alle niet-verborgen bestanden, waaronder foto’s, back-ups en externe configuratiebestanden. Brodeur zei dat hij ontdekte dat OpenVPN-certificaten waren opgeslagen op de SD-kaart van zijn eigen apparaat.
“Hoewel het mogelijk is om de inhoud van al die bestanden op te halen, laat ik het aan iemand anders over om te beslissen welke bestanden opgepakt moeten worden en welke saai zullen zijn,” zei hij.
Vervolgens haalde hij het bestand /data/system/packages.list op waarin apps op het apparaat waren geïnstalleerd en scande de mappen om te bepalen of gevoelige informatie uit die mappen kon worden gelezen. Hij zei tijdens het testen dat hij sommige bestanden van andere apps kon lezen. “Deze functie kan worden gebruikt om apps te vinden met zwakke toestemmingen, zoals die vorig jaar werden gemeld in Skype,” zei hij.
Tot slot was de app van Brodeur in staat om de identificatiegegevens van de handset te verzamelen. Zonder de “PHONE_STATE” toestemming kunnen applicaties de International Mobile Equipment Identity of International Mobile Subscriber Identity van het apparaat niet lezen. De informatie van het Global System for Mobile Communications en de ID’s van de SIM-verkopers konden echter nog wel worden gelezen.
“Hoewel deze app knoppen gebruikt om de drie verschillende acties hierboven beschreven te activeren, is het triviaal voor elke geïnstalleerde app om deze acties uit te voeren zonder enige interactie van de gebruiker,” schreef hij.
Brodeur zei dat hij de app heeft getest op Android 4.0.3 Ice Cream Sandwich en Android 2.3.5 Gingerbread.
Bron: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/