Viimeisin loputtomasta tarinasta Android-turvallisuus on poissa, ja tällä kertaa puhutaan siitä, mitä sovellus voi käyttää, jos se ei ilmoita käyttöoikeuksia. (Toisin sanoen, mitä kaikki sovellukset voivat nähdä, jos se ei pyydä mitään tavallisista toiminnallisista sovelluspyynnöistä.) Jotkut ihmiset tekevät siitä mitään. huoli, muut käyttävät sitä pyrkiessään vahingoittamaan maailman suosituinta matkapuhelimen käyttöjärjestelmää, mutta mielestämme paras asia siihen on selittää mitä tapahtuu.
Ryhmä turvallisuustutkijoita ryhtyi luomaan sovelluksen, joka ei ilmoita oikeuksia selvittää tarkalleen, millaista tietoa he voisivat saada Android-järjestelmästä, jolla se oli käynnissä. Tällaista asiaa tehdään joka päivä, ja mitä suositumpi kohde on, sitä enemmän ihmiset katsovat sitä. Me todella haluta heitä tekemään tällaisia asioita, ja ihmiset löytävät aika ajoin asioita, jotka ovat kriittisiä ja jotka on korjattava. Kaikki hyötyvät.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Tällä kertaa he havaitsivat, että sovellus, jolla ei ole (kuten ei missään, nada, zilch) käyttöoikeudet voisi tehdä kolme erittäin mielenkiintoista asiaa. Kukaan ei ole vakava, mutta kaikkia on syytä tarkastella hieman. Aloitamme SD-kortista.
Mikä tahansa sovellus voi lukea SD-kortin tiedot. Se on aina ollut näin, ja se tulee aina olemaan. (SD-kortille kirjoittaminen vaatii luvan.) Turvallisten, piilotettujen tiedostojen luomiseen on käytettävissä apuohjelmia kansioita ja suojaa niitä muilta sovelluksilta, mutta oletusarvoisesti kaikki SD-kortille kirjoitetut tiedot ovat käytettävissä kaikille sovelluksille nähdä. Tämä on suunniteltu, koska haluamme antaa tietokoneemme käyttää kaikkia tietoja jaettavissa olevissa osioissa (kuten SD-kortit), kun liitämme ne verkkovirtaan. Uudemmissa Android-versioissa käytetään erilaista ositusmenetelmää ja erilaista tapaa jakaa tietoja, jotka siirtyvät pois tästä, mutta sitten me kaikki pääsemme narttu MTP: n käytöstä. (Ellet ole Phil, mutta hän on vähän pähkinä MTP: n tykkäämisestä.) Tämä on helppo korjaus - älä laita arkaluontoisia tietoja SD-kortillesi. Älä käytä sovelluksia, jotka asettavat arkaluontoisia tietoja SD-kortillesi. Lopeta sitten huolestuminen siitä, että ohjelmat voivat nähdä tietoja, joiden heidän on tarkoitus nähdä.
Seuraava heidän löytämänsä asia on todella mielenkiintoinen, jos olet geek - voi lukea /data/system/packages.list -tiedoston ilman nimenomaista lupaa. Tämä ei itsessään aiheuta uhkaa, mutta tietää mitä sovellukset käyttäjän asentama on loistava tapa tietää, mitkä hyödyt voivat olla hyödyllisiä heidän puhelimen tai tabletin vaarantamiseksi. Ajattele muiden sovellusten haavoittuvuuksia - esimerkki tutkijoista oli Skype. Hyökkääjä tietää, että hyväksikäyttö on olemassa, joten hyökkääjä voi yrittää kohdistaa sen. On syytä mainita, että tunnetun epävarman sovelluksen kohdistaminen vaatii todennäköisesti jonkin verran lupia siihen. (Ja on myös syytä muistuttaa ihmisiä siitä, että Skype tunnusti ja korjasi käyttöoikeusongelmansa nopeasti.)
Lopuksi he huomasivat, että / proc-hakemisto antaa vähän tietoa kysyttäessä. Heidän esimerkkinsä osoittaa, että he voivat lukea esimerkiksi Android-tunnusta, ytimen versiota ja ROM-versiota. / Proc-hakemistosta löytyy paljon enemmän, mutta meidän on muistettava, että / proc ei ole todellinen tiedostojärjestelmä. Katso omiasi root explorerilla - se on täynnä 0-tavuisia tiedostoja, jotka luodaan ajon aikana, ja on suunniteltu sovelluksille ja ohjelmistoille kommunikoimaan käynnissä olevan ytimen kanssa. Siihen ei ole tallennettu todellisia arkaluontoisia tietoja, ja kaikki pyyhitään ja kirjoitetaan uudelleen, kun puhelinta käynnistetään. Jos olet huolissasi siitä, että joku saattaa löytää ytimen version tai 16-numeroisen Android-tunnuksen, sinä on edelleen este saada nämä tiedot lähettää mihin tahansa ilman nimenomaisia Internet-lupia.
Olemme iloisia siitä, että ihmiset kaivavat syvällisesti löytääkseen tällaisia asioita, ja vaikka nämä eivät ole kriittisiä vakavalla määritelmällä, on hyvä saada Google tietämään niistä. Tällaista työtä tekevät tutkijat voivat tehdä asioista vain turvallisempia ja parempia meille kaikille. Ja meidän on korostettava sitä, että Leviathanin stipendiaatit eivät puhu tuhoa ja synkkyyttä, vaan vain esittävät tosiasioita hyödyllisellä tavalla - tuho ja synkkyys tulevat ulkopuolisista lähteistä.
Lähde: Leviathan Security Group
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Saatamme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta alle 200 dollarilla.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Xperia 1 on edelleen suosikkipuhelimemme videoiden kuvaamiseen.
Jos videotallennus on sinun juttusi, älä katso enää kuin Sony Xperia 1 - se tarjoaa suuren näytön, kolme upeaa kameraa ja erittäin vankan manuaalisen video-ohjauksen.