Viimane lõputu loos Androidi turvalisus on väljas ja seekord räägitakse sellest, millele saab rakendus juurde pääseda, kui ta õigusi ei deklareeri. (Teisisõnu, mida kõik rakendused näevad, kui see ei nõua ühtegi tavalist funktsionaalsuse rakenduse taotlust.) Mõned inimesed teevad sellest midagi muretsege, teised kasutavad seda selleks, et kahjustada maailma populaarseimat mobiiltelefoni operatsioonisüsteemi, kuid arvame, et parim asi, mida sellega teha, on selgitada, mida toimumas.
Rühm turvauurijaid asus looma rakenduse, mis ei deklareeri õigusi, et teada saada, millist teavet nad võiksid saada Android-süsteemist, kus see töötab. Selliseid asju tehakse iga päev ja mida populaarsem on sihtmärk, seda rohkem inimesi seda vaatab. Me tegelikult tahan neid selliseid asju tegema ja aeg-ajalt leiavad inimesed asju, mis on kriitilised ja vajavad parandamist. Kõik saavad sellest kasu.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Seekord leidsid nad, et rakendus, millel pole (nagu mitte üheski, nada, zilch)
õigused võiks teha kolme väga huvitavat asja. Ükski pole tõsine, kuid kõiki tasub natuke vaadata. Alustame SD-kaardiga.Iga rakendus saab lugeda andmed teie SD-kaardil. See on alati olnud nii ja alati. (SD-kaardile kirjutamiseks on vaja luba.) Turvaliste, peidetud loomiseks on saadaval utiliidid kaustu ja kaitsta neid teiste rakenduste eest, kuid vaikimisi on SD-kaardile kirjutatud andmed olemas kõigi rakenduste jaoks et näha. See on kujunduse järgi, kuna tahame lubada oma arvutil juurdepääsu kõikidele jagatavates vaheseintes olevatele andmetele (nt SD-kaardid), kui need ühendame. Androidi uuemates versioonides kasutatakse teistsugust jaotamismeetodit ja erinevat viisi andmete jagamiseks, mis eemaldub sellest, kuid siis jõuame kõik emane MTP kasutamise kohta. (Kui just te pole Phil, aga ta on MTP-le meeldiv.) See on lihtne lahendus - ärge pange tundlikke andmeid oma SD-kaardile. Ärge kasutage rakendusi, mis lisavad teie SD-kaardile tundlikke andmeid. Seejärel lõpetage muretsemine selle pärast, et programmid näevad andmeid, mida nad peaksid nägema.
Järgmine asi, mille nad leidsid, on tõesti huvitav, kui olete geek - oskab faili /data/system/packages.list lugeda ilma selge loata. See ei kujuta endast iseenesest mingit ohtu, kuid teades, mida rakendused kasutaja installitud on suurepärane võimalus teada saada, millised ärakasutamised võivad olla kasulikud tema telefoni või tahvelarvuti ohustamiseks. Mõelge teiste rakenduste haavatavustele - teadlaste kasutatav näide oli Skype. Teadmine, et see on olemas, tähendab, et ründaja võib proovida seda sihtida. Väärib mainimist, et teadaoleva ebaturvalise rakenduse sihtimiseks on selleks ilmselt vaja mõningaid lube. (Ja tasub inimestele ka meelde tuletada, et Skype tunnistas ja parandas oma lubade probleemi kiiresti.)
Lõpuks avastasid nad, et kataloog / proc annab päringu korral natuke andmeid. Nende näide näitab, et nad saavad lugeda näiteks Android ID-d, kerneli versiooni ja ROM-i versiooni. Kataloogist / proc võib leida palju muud, kuid peame meeles pidama, et / proc pole tõeline failisüsteem. Vaadake enda oma juurteuurijaga - see on täis 0-baidiseid faile, mis on loodud käitamise ajal ning on mõeldud rakenduste ja tarkvara jaoks jooksva kerneliga suhtlemiseks. Sinna pole salvestatud tõelisi tundlikke andmeid ning kõik need kustutatakse ja kirjutatakse ümber, kui telefon töötab toite ajal. Kui olete mures, et keegi võib leida teie kerneli versiooni või 16-kohalise Android-ID, olete teie on endiselt takistuseks saada see teave kuhugi ilma selgesõnalise Interneti-loata.
Meil on hea meel, et inimesed süvenevad selliste probleemide leidmiseks ja kuigi need pole ühegi tõsise definitsiooni järgi kriitilised, on hea Google'ile neist teada anda. Sellist tööd tegevad teadlased saavad meie kõigi jaoks asju muuta ainult turvalisemaks ja paremaks. Ja me peame rõhutama, et Leviathani stipendiaatid ei räägi hukatust ja süngust, vaid lihtsalt esitavad fakte kasulikul viisil - hukatus ja süngus tulevad väljastpoolt.
Allikas: Leviathani julgeolekugrupp
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate iga hinnaga osta!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Xperia 1 on endiselt meie lemmiktelefon video salvestamiseks.
Kui videosalvestus on teie asi, siis ärge vaadake kaugemale kui Sony Xperia 1 - see pakub suurt ekraani, kolme suurepärast kaamerat ja ülitugevat manuaalset videojuhtimist.