Le dernier de l'histoire sans fin de Sécurité Android est sorti, et cette fois, il s'agit de ce à quoi une application peut accéder si elle ne déclare aucune autorisation. (Pour le dire autrement, ce que toute une application peut voir si elle ne demande aucune des fonctionnalités normales de la demande des applications.) Certaines personnes prétendent que ce n'est rien à s'inquiète, d'autres l'utilisent dans leur quête pour damnifier le système d'exploitation de téléphonie mobile le plus populaire au monde, mais nous pensons que la meilleure chose à faire est d'expliquer ce qui événement.
Un groupe de chercheurs en sécurité a décidé de créer une application qui ne déclare aucune autorisation pour savoir exactement de quel type d'informations ils pourraient extraire du système Android sur lequel elle s'exécutait. Ce genre de chose se fait tous les jours, et plus la cible est populaire, plus les gens la regardent. Nous en fait vouloir de faire ce genre de choses, et de temps en temps, les gens trouvent des choses qui sont critiques et doivent être réparées. Tout le monde en profite.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Cette fois-ci, ils ont trouvé qu'une application sans (comme aucun, nada, zilch) autorisations pourrait faire trois choses très intéressantes. Aucun n'est sérieux, mais tous valent la peine d'être examinés un peu. Nous allons commencer par la carte SD.
N'importe quelle application peut lis données sur votre carte SD. Il en a toujours été ainsi et il en sera toujours ainsi. (L'écriture sur la carte SD nécessite une autorisation.) Des utilitaires sont disponibles pour créer des les dossiers et les protéger des autres applications, mais par défaut, toutes les données écrites sur la carte SD sont là pour toutes les applications à voir. C'est par conception, car nous voulons permettre à notre ordinateur d'accéder à toutes les données sur des partitions partageables (comme les cartes SD) lorsque nous les connectons. Les nouvelles versions d'Android utilisent une méthode de partitionnement différente et une manière différente de partager des données qui s'en éloigne, mais nous arrivons tous à salope sur l'utilisation de MTP. (Sauf si vous êtes Phil, mais il est un peu fou de MTP.) C'est une solution facile - ne mettez pas de données sensibles sur votre carte SD. N'utilisez pas d'applications qui mettent des données sensibles sur votre carte SD. Alors arrêtez de vous inquiéter de la possibilité pour les programmes de voir les données qu'ils sont censés voir.
La prochaine chose qu'ils ont trouvée est vraiment intéressante si vous êtes un geek - un peut lire le fichier /data/system/packages.list sans autorisation explicite. Cela ne constitue pas une menace en soi, mais sachant quoi applications un utilisateur a installé est un excellent moyen de savoir quels exploits peuvent être utiles pour compromettre son téléphone ou sa tablette. Pensez aux vulnérabilités d'autres applications - l'exemple utilisé par les chercheurs était Skype. Sachant qu'un exploit existe, il est là signifie qu'un attaquant pourrait essayer de le cibler. Il convient de mentionner que le ciblage d'une application non sécurisée connue nécessiterait probablement certaines autorisations pour le faire. (Et cela vaut également la peine de rappeler aux gens que Skype a rapidement reconnu et résolu son problème d'autorisations.)
Enfin, ils ont découvert que le répertoire / proc donne un peu de données lorsqu'il est interrogé. Leur exemple montre qu'ils peuvent lire des éléments tels que l'ID Android, la version du noyau et la version ROM. Il y a beaucoup plus à trouver dans le répertoire / proc, mais nous devons nous rappeler que / proc n'est pas un vrai système de fichiers. Regardez le vôtre avec l'explorateur racine - il est plein de fichiers de 0 octet créés au moment de l'exécution et est conçu pour que les applications et les logiciels communiquent avec le noyau en cours d'exécution. Il n'y a pas de données réellement sensibles stockées là-bas, et tout est effacé et réécrit lorsque le téléphone est mis hors tension. Si vous craignez que quelqu'un puisse trouver la version de votre noyau ou votre identifiant Android à 16 chiffres, vous ont encore l’obstacle à envoyer ces informations n’importe où sans autorisations Internet explicites.
Nous sommes heureux que les gens creusent profondément pour trouver ce type de problèmes, et bien que ceux-ci ne soient pas critiques par définition sérieuse, il est bon d'en informer Google. Les chercheurs qui font ce genre de travail ne peuvent que rendre les choses plus sûres et meilleures pour nous tous. Et nous devons souligner le fait que les boursiers de Léviathan ne parlent pas de malheur et de tristesse, ils ne font que présenter des faits d'une manière utile - le destin et la tristesse viennent de sources extérieures.
La source: Groupe de sécurité Léviathan
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, analyses et prises de vues, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Le Xperia 1 reste notre téléphone préféré pour filmer des vidéos.
Si l'enregistrement vidéo est votre truc, ne cherchez pas plus loin que le Sony Xperia 1 - il offre un grand écran, trois superbes caméras et des commandes vidéo manuelles extrêmement robustes.