Член

Страх за сигурността на седмицата: Какво може да направи приложение без разрешения?

protection click fraud
Сигурността е сериозен бизнес

Последното в безкрайната история на Сигурност на Android излиза и този път става дума за това до какво приложение може да има достъп, ако не декларира никакви разрешения. (Казано по друг начин, какво може да види всяко приложение, ако не изисква нито една от заявките за нормална функционалност на приложенията.) Някои хора го правят нищо за притеснявайте се, други го използват в стремежа си да прокълнат най-популярната операционна система за мобилни телефони в света, но ние смятаме, че най-доброто нещо, което трябва да се направи с него е да се обясни какво случващо се.

Група изследователи по сигурността се зае да създаде приложение, което не декларира разрешения, за да разбере какъв точно вид информация може да получи от системата Android, на която работи. Подобни неща се правят всеки ден и колкото по-популярна е целта, толкова повече хора я гледат. Ние всъщност искам те да правят такива неща и от време на време хората намират неща, които са критични и трябва да бъдат поправени. Всички се възползват.

Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии

Този път те откриха, че приложение с no (както в нито едно, nada, zilch) разрешения може да направи три много интересни неща. Никой не е сериозен, но всички си заслужава да се разгледат малко. Ще започнем със SD картата.

Всяко приложение може Прочети данни на вашата SD карта. Винаги е било така и винаги ще бъде така. (Записването на SD картата е това, което се нуждае от разрешение.) Налични са помощни програми за създаване на защитени, скрити папки и ги предпазва от други приложения, но по подразбиране всички данни, записани на SD картата, са налични за всяко приложение да видиш. Това е по дизайн, тъй като искаме да позволим на нашия компютър да има достъп до всички данни на споделени дялове (като SD карти), когато ги включим. По-новите версии на Android използват различен метод за разделяне и различен начин за споделяне на данни, които се отдалечават от това, но след това всички стигаме до кучка за използването на MTP. (Освен ако не сте Фил, но той е малко луд в харесването на MTP.) Това е лесно решение - не поставяйте чувствителни данни на вашата SD карта. Не използвайте приложения, които поставят поверителни данни на вашата SD карта. След това престанете да се притеснявате, че програмите ще могат да виждат данни, които би трябвало да могат да видят.

Следващото нещо, което откриха, е наистина интересно, ако сте отрепка - можете да прочетете файла /data/system/packages.list без изрично разрешение. Това не представлява заплаха само по себе си, но знаейки какво приложения потребителят е инсталирал е чудесен начин да разберете какви експлойти могат да бъдат полезни за компрометиране на техния телефон или таблет. Помислете за уязвимостите в други приложения - примерът, който изследователите са използвали, е Skype. Знаейки, че експлойт съществува, това означава, че нападателят може да се опита да го насочи. Струва си да се спомене, че насочването към известно несигурно приложение вероятно ще изисква някои разрешения за това. (И също така си струва да напомним на хората, че Skype бързо призна и отстрани проблема с разрешенията си.)

Накрая те откриха, че директорията / proc дава малко данни при заявки. Техният пример показва, че те могат да четат неща като Android ID, версия на ядрото и версия на ROM. Има много повече неща, които можете да намерите в директорията / proc, но трябва да помним, че / proc не е истинска файлова система. Погледнете вашия с root explorer - той е пълен с 0-байтови файлове, създадени по време на изпълнение, и е предназначен за приложения и софтуер за комуникация с работещото ядро. Там не се съхраняват истински чувствителни данни и всичко това се изтрива и пренаписва, когато телефонът се задейства. Ако се притеснявате, че някой може да намери вашата версия на ядрото или 16-цифрен Android ID, вие все още имате препятствието да изпращате тази информация навсякъде без изрични разрешения за интернет.

Радваме се, че хората се задълбочават, за да открият подобни проблеми и въпреки че те не са критични от някакво сериозно определение, добре е да информираме Google за тях. Изследователите, извършващи този вид работа, могат само да направят нещата по-безопасни и по-добри за всички нас. И трябва да подчертаем въпроса, че стипендиантите от Левиатан не говорят за гибел, те просто представят факти по полезен начин - гибелта и мрака идват от външни източници.

Източник: Leviathan Security Group

Слушали ли сте Android Central Podcast тази седмица?

Android Central

Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.

  • Абонирайте се за Pocket Casts: Аудио
  • Абонирайте се в Spotify: Аудио
  • Абонирайте се в iTunes: Аудио

Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Време е да прережете кабела!

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!

Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други
Следващото поколение

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.

Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.

Nokia пуска два нови бюджетни телефона Android One под $ 200
Нови Нокии

Nokia пуска два нови бюджетни телефона Android One под $ 200.

Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.

Xperia 1 все още е любимият ни телефон за заснемане на видео
най-доброто

Xperia 1 все още е любимият ни телефон за заснемане на видео.

Ако видеозаписът е вашето нещо, тогава не търсете повече от Sony Xperia 1 - той предлага голям екран, три страхотни камери и изключително здрави ръчни видео контроли.

instagram story viewer