page-loader

Android gir «ingen tillatelser»-apper tilgang til sensitiv informasjon

Sikkerhetsforsker publiserer en proof-of-concept-app for å demonstrere sikkerhetsproblem i Googles mobiloperativsystem.

Mye takket være Androids historie med slapp app-politi, har Googles mobiloperativsystem blitt kritisert som usikkert.

Men nå ser det ut til at apper uten tillatelser utgjør en ny trussel, som får tilgang til sensitiv personlig informasjon uten autorisasjon. Leviathan Security Group-forsker Paul Brodeur forklarte i et blogginnlegg tidligere denne uken at han opprettet et proof-of-concept for å demonstrere at «ingen tillatelser»-apper fortsatt har tilgang til enhetens SD-kort, håndsettidentifikasjonsdata og filer lagret av andre apper.

På SD-kortet ga Brodeurs app en liste over alle ikke-skjulte filer, inkludert bilder, sikkerhetskopier og eksterne konfigurasjonsfiler. Brodeur sa at han fant ut at OpenVPN-sertifikater ble lagret på hans egen enhets SD-kort.

«Selv om det er mulig å hente innholdet i alle disse filene, overlater jeg til noen andre å bestemme hvilke filer som skal hentes og hvilke som kommer til å bli kjedelige,» sa han.

Deretter hentet han /data/system/packages.list-filen som appene ble installert til på enheten og skannet katalogene for å finne ut om sensitiv informasjon kunne leses fra disse katalogene. Han sa under testingen at han var i stand til å lese noen filer som tilhører andre apper. «Denne funksjonen kan brukes til å finne apper med svake tillatelsessårbarheter, slik som de som ble rapportert i Skype i fjor ,» sa han.

Til slutt var Brodeurs app i stand til å samle håndsettets identifikasjonsinformasjon. Uten «PHONE_STATE»-tillatelsen kan ikke applikasjoner lese enhetens internasjonale mobilutstyrsidentitet eller internasjonale mobilabonnentidentitet. Imidlertid kunne Global System for Mobile Communications-informasjon og SIM-leverandør-IDer fortsatt leses.

«Selv om denne appen bruker knapper for å aktivere de tre forskjellige handlingene beskrevet ovenfor, er det trivielt for enhver installert app å utføre disse handlingene uten noen brukerinteraksjon,» skrev han.

Brodeur sa at han testet appen på Android 4.0.3 Ice Cream Sandwich og Android 2.3.5 Gingerbread.

Kilde: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/

vogn
Butikk

Kontakt

Hovedkvarter

AppTec GmbH
St. Jakobs-Strasse 30
CH-4052 Basel
Sveits
Telefon: +41 (0) 61 511 32 10
Faks: +41 (0) 61 511 32 19

E-post: info@apptec360.com

rangere oss
Anbefal oss
Go to Top