Lo último de la interminable historia de Seguridad de Android está fuera, y esta vez se trata de a qué puede acceder una aplicación si declara que no tiene permisos. (Para decirlo de otra manera, lo que toda una aplicación puede ver si no solicita ninguna de las funciones normales que solicitan las aplicaciones). Algunas personas hacen que no sea nada para preocuparse, otros lo utilizan en su búsqueda para condenar el sistema operativo de teléfonos móviles más popular del mundo, pero pensamos que lo mejor que podemos hacer con él es explicar qué sucediendo.
Un grupo de investigadores de seguridad se propuso crear una aplicación que declara que no tiene permisos para averiguar exactamente qué tipo de información podrían obtener del sistema Android en el que se estaba ejecutando. Este tipo de cosas se hace todos los días, y cuanto más popular es el objetivo, más personas lo miran. Nosotros realmente desear ellos para hacer este tipo de cosas, y de vez en cuando la gente encuentra cosas que son críticas y necesitan ser reparadas. Todos se benefician.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Esta vez, descubrieron que una aplicación sin (como en none, nada, zilch) permisos podría hacer tres cosas muy interesantes. Ninguno es serio, pero vale la pena analizar todos un poco. Empezaremos con la tarjeta SD.
Cualquier aplicación puede leer datos en su tarjeta SD. Siempre ha sido así y siempre será así. (Escribir en la tarjeta SD es lo que necesita un permiso). Hay utilidades disponibles para crear seguras, ocultas carpetas y protéjalas de otras aplicaciones, pero de forma predeterminada, los datos escritos en la tarjeta SD están allí para cualquier aplicación para ver. Esto es por diseño, ya que queremos permitir que nuestra computadora acceda a todos los datos en particiones que se pueden compartir (como tarjetas SD) cuando las conectamos. Las versiones más nuevas de Android usan un método de partición diferente y una forma diferente de compartir datos que se aleja de esto, pero luego todos llegamos a perra sobre el uso de MTP. (A menos que seas Phil, pero está un poco loco con los me gusta MTP). Esta es una solución fácil: no pongas datos confidenciales en tu tarjeta SD. No utilice aplicaciones que guarden datos confidenciales en su tarjeta SD. Entonces deje de preocuparse por los programas que pueden ver los datos que se supone que pueden ver.
Lo siguiente que encontraron es realmente interesante si eres un geek: puedes leer el archivo /data/system/packages.list sin permiso explícito. Esto no representa una amenaza por sí solo, pero sabiendo qué aplicaciones que ha instalado un usuario es una excelente manera de saber qué exploits pueden ser útiles para comprometer su teléfono o tableta. Piense en las vulnerabilidades en otras aplicaciones: el ejemplo que usaron los investigadores fue Skype. Saber que existe un exploit significa que un atacante podría intentar atacarlo. Sin embargo, vale la pena mencionar que apuntar a una aplicación insegura conocida probablemente requeriría algunos permisos para hacerlo. (Y también vale la pena recordarle a la gente que Skype reconoció y solucionó rápidamente su problema de permisos).
Finalmente, descubrieron que el directorio / proc proporciona algunos datos cuando se consulta. Su ejemplo muestra que pueden leer cosas como la ID de Android, la versión del kernel y la versión de ROM. Hay mucho más que se puede encontrar en el directorio / proc, pero debemos recordar que / proc no es un sistema de archivos real. Mire el suyo con el explorador raíz: está lleno de archivos de 0 bytes que se crean en tiempo de ejecución y está diseñado para que las aplicaciones y el software se comuniquen con el kernel en ejecución. No hay datos confidenciales reales almacenados allí, y todo se borra y se reescribe cuando el teléfono se apaga y enciende. Si le preocupa que alguien pueda encontrar su versión de kernel o su ID de Android de 16 dígitos, todavía tienen el obstáculo de enviar esa información a cualquier lugar sin permisos explícitos de Internet.
Nos alegra que la gente esté investigando profundamente para encontrar este tipo de problemas, y aunque estos no son críticos según una definición seria, es bueno que Google los conozca. Los investigadores que realizan este tipo de trabajo solo pueden hacer que las cosas sean más seguras y mejores para todos nosotros. Y debemos enfatizar el punto de que los compañeros de Leviathan no están hablando de pesimismo y pesimismo, solo están presentando hechos de una manera útil: el pesimismo y la pesimismo provienen de fuentes externas.
Fuente: Grupo de seguridad Leviatán
¿Has escuchado el podcast central de Android de esta semana?
Cada semana, el Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras utilizando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está funcionando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.
El Xperia 1 sigue siendo nuestro teléfono favorito para grabar videos.
Si lo tuyo es la grabación de video, entonces no busques más que el Sony Xperia 1: ofrece una pantalla grande, tres excelentes cámaras y controles de video manuales extremadamente robustos.