Das Neueste in der unendlichen Geschichte von Android-Sicherheit ist out und dieses Mal geht es darum, auf was eine App zugreifen kann, wenn sie keine Berechtigungen deklariert. (Um es anders auszudrücken: Was kann eine Anwendung sehen, wenn sie keine der Anforderungen an Apps mit normaler Funktionalität anfordert?) Einige Leute stellen fest, dass dies nichts ist Sorgen Sie sich, andere nutzen es, um das beliebteste Betriebssystem für Mobiltelefone der Welt zu verdammen, aber wir glauben, dass es das Beste ist, zu erklären, was damit zu tun ist Ereignis.
Eine Gruppe von Sicherheitsforschern machte sich daran, eine App zu erstellen, die keine Berechtigungen deklariert, um genau herauszufinden, welche Art von Informationen sie von dem Android-System erhalten können, auf dem sie ausgeführt wurden. So etwas wird jeden Tag gemacht, und je beliebter das Ziel ist, desto mehr Menschen schauen es sich an. Wir eigentlich wollen sie, um so etwas zu tun, und von Zeit zu Zeit finden die Leute Dinge, die kritisch sind und repariert werden müssen. Jeder profitiert.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Diesmal fanden sie heraus, dass eine App mit no (wie in none, nada, zilch) Berechtigungen könnte drei sehr interessante Dinge tun. Keiner ist ernst, aber alle sind einen Blick wert. Wir beginnen mit der SD-Karte.
Jede App kann lesen Daten auf Ihrer SD-Karte. Es war schon immer so und es wird immer so sein. (Für das Schreiben auf die SD-Karte ist eine Berechtigung erforderlich.) Zum Erstellen sicherer, versteckter Dienstprogramme stehen Dienstprogramme zur Verfügung Ordner und schützen Sie sie vor anderen Apps, aber standardmäßig sind alle auf die SD-Karte geschriebenen Daten für jede App vorhanden sehen. Dies ist beabsichtigt, da wir unserem Computer ermöglichen möchten, auf alle Daten auf gemeinsam nutzbaren Partitionen (wie SD-Karten) zuzugreifen, wenn wir sie anschließen. Neuere Versionen von Android verwenden eine andere Partitionierungsmethode und eine andere Art, Daten zu teilen, die davon abweichen, aber dann kommen wir alle dazu Schlampe über die Verwendung von MTP. (Es sei denn, Sie sind Phil, aber er ist ein bisschen verrückt nach MTP.) Dies ist eine einfache Lösung - legen Sie keine vertraulichen Daten auf Ihre SD-Karte. Verwenden Sie keine Apps, die vertrauliche Daten auf Ihre SD-Karte übertragen. Machen Sie sich dann keine Sorgen mehr darüber, dass Programme Daten sehen können, die sie sehen sollen.
Das nächste, was sie gefunden haben, ist wirklich interessant, wenn Sie ein Geek sind - und die Datei /data/system/packages.list ohne ausdrückliche Erlaubnis lesen können. Dies stellt für sich genommen keine Bedrohung dar, aber zu wissen, was Anwendungen Ein Benutzer, der installiert hat, ist eine gute Möglichkeit zu wissen, welche Exploits nützlich sein können, um sein Telefon oder Tablet zu gefährden. Denken Sie an Schwachstellen in anderen Apps - das Beispiel, das die Forscher verwendeten, war Skype. Wenn ein Angreifer weiß, dass ein Exploit vorhanden ist, kann er versuchen, ihn als Ziel zu wählen. Es ist erwähnenswert, dass für das Targeting einer bekannten unsicheren App wahrscheinlich einige Berechtigungen erforderlich sind. (Und es lohnt sich auch, die Leute daran zu erinnern, dass Skype das Berechtigungsproblem schnell erkannt und behoben hat.)
Schließlich stellten sie fest, dass das Verzeichnis / proc bei der Abfrage einige Daten enthält. Ihr Beispiel zeigt, dass sie Dinge wie die Android-ID, die Kernel-Version und die ROM-Version lesen können. Es gibt noch viel mehr im Verzeichnis / proc, aber wir müssen uns daran erinnern, dass / proc kein echtes Dateisystem ist. Schauen Sie sich Ihre mit dem Root-Explorer an - er enthält 0-Byte-Dateien, die zur Laufzeit erstellt werden, und wurde für Apps und Software entwickelt, um mit dem laufenden Kernel zu kommunizieren. Dort sind keine wirklich sensiblen Daten gespeichert, und alles wird gelöscht und neu geschrieben, wenn das Telefon aus- und wieder eingeschaltet wird. Wenn Sie befürchten, dass jemand Ihre Kernel-Version oder Ihre 16-stellige Android-ID finden könnte, sind Sie Sie haben immer noch die Hürde, diese Informationen ohne explizite Internetberechtigungen überall hin zu senden.
Wir sind froh, dass sich die Leute intensiv mit solchen Problemen befassen. Obwohl diese nach einer ernsthaften Definition nicht kritisch sind, ist es gut, Google darauf aufmerksam zu machen. Forscher, die diese Art von Arbeit leisten, können die Dinge für uns alle nur sicherer und besser machen. Und wir müssen betonen, dass die Leute bei Leviathan nicht über Untergang und Finsternis sprechen, sondern nur Fakten auf nützliche Weise präsentieren - Untergang und Finsternis kommen von außen.
Quelle: Leviathan Security Group
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Das Xperia 1 ist immer noch unser Lieblingstelefon für Videoaufnahmen.
Wenn Sie gerne Videoaufnahmen machen, sind Sie beim Sony Xperia 1 genau richtig - es bietet einen großen Bildschirm, drei großartige Kameras und eine äußerst robuste manuelle Videosteuerung.