A legújabb a soha véget nem érő történetben Android biztonság kint van, és ezúttal arról beszél, hogy egy alkalmazás mihez férhet hozzá, ha nem jelent be engedélyeket. (Másképp fogalmazva, mit láthat az összes alkalmazás, ha nem kéri a szokásos funkcionalitási alkalmazások egyikét sem.) Néhány ember úgy teszi, hogy semmi aggódj, mások a világ legnépszerűbb mobiltelefon-operációs rendszerének károsítására használják fel őket, de úgy gondoljuk, hogy a legjobb dolog ezzel magyarázni, mi esemény.
Biztonsági kutatók egy csoportja létrehozott egy olyan alkalmazást, amely nem jelent be engedélyeket annak kiderítésére, hogy pontosan milyen információkat kaphatnak az Android rendszerből, amelyen fut. Ilyeneket minden nap végeznek, és minél népszerűbb a cél, annál többen nézik. Mi valójában akar hogy ilyesmit tegyenek, és időről időre az emberek kritikus dolgokat találnak, amelyeket meg kell javítani. Mindenki profitál.
A Verizon a Pixel 4a készüléket mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
Ezúttal azt tapasztalták, hogy egy alkalmazás nem (mint egyikben sem, nada, zilch) engedélyeket három nagyon érdekes dolgot tehetne. Egyik sem komoly, de mindegyiket érdemes megnézni egy kicsit. Kezdjük az SD-kártyával.
Bármely alkalmazás képes olvas adatokat az SD-kártyán. Ez mindig is így volt, és mindig is így lesz. (Az SD-kártyára történő íráshoz engedély szükséges.) A biztonságos, rejtett fájlok létrehozásához segédprogramok állnak rendelkezésre mappákat, és megvédi őket más alkalmazásoktól, de alapértelmezés szerint az SD-kártyára írt adatok minden alkalmazás számára rendelkezésre állnak látni. Ez terv szerint van, mivel azt akarjuk, hogy számítógépünk hozzáférjen a megosztható partíciók összes adatához (például az SD-kártyákhoz), amikor csatlakoztatjuk őket. Az Android újabb verziói más particionálási módszert és az ettől távolodó adatok megosztásának más módját használják, de aztán mindannyian eljutunk kurva az MTP használatáról. (Hacsak nem te vagy Phil, de az MTP-hez kedveli.) Ez egy egyszerű megoldás - ne helyezzen bizalmas adatokat az SD-kártyájára. Ne használjon olyan alkalmazásokat, amelyek bizalmas adatokat tárolnak az SD-kártyán. Aztán ne aggódjon, hogy a programok láthatják azokat az adatokat, amelyeket állítólag láthatnak.
A következő dolog, amit találtak, igazán érdekes, ha geek vagy - egy kifejezett engedély nélkül elolvashatja a /data/system/packages.list fájlt. Ez önmagában nem jelent veszélyt, de tudja, mit alkalmazások egy felhasználó által telepített eszköz nagyszerű módja annak, hogy megtudja, milyen kihasználások lehetnek hasznosak telefonja vagy táblagépének veszélyeztetése érdekében. Gondoljon más alkalmazások sebezhetőségére - a kutatók a Skype példát használták. Annak ismerete, hogy létezik kizsákmányolás, az azt jelenti, hogy a támadó megpróbálhatja megcélozni. Érdemes megemlíteni, hogy egy ismert, nem biztonságos alkalmazás megcélzásához valószínűleg ehhez némi engedélyre van szükség. (És arra is érdemes emlékeztetni az embereket, hogy a Skype gyorsan nyugtázta és kijavította az engedélyek problémáját.)
Végül felfedezték, hogy a / proc könyvtár egy kis adatot ad lekérdezéskor. Példájuk azt mutatja, hogy olyan dolgokat tudnak olvasni, mint az Android ID, a kernel és a ROM verzió. Sokkal több található a / proc könyvtárban, de emlékeznünk kell arra, hogy a / proc nem igazi fájlrendszer. Nézze meg a tiédet a root explorerrel - tele van 0 bájtos fájlokkal, amelyeket futás közben hoznak létre, és az alkalmazások és szoftverek számára készült a kommunikációhoz a futó kernellel. Nincs ott tárolva valódi érzékeny adat, és a telefon áramellátásakor mindet törli és átírja. Ha attól tart, hogy valaki megtalálhatja a rendszermag verzióját vagy a 16 jegyű Android-azonosítóját, akkor Ön továbbra is akadálya van annak, hogy ezt az információt bárhova elküldjék, kifejezett internetes engedélyek nélkül.
Örülünk, hogy az emberek mélyen elmélyednek, hogy megtalálják az ilyen jellegű problémákat, és bár ezek komoly kritériumok szerint sem kritikusak, jó, ha tudatosítjuk bennük a Google-t. Az ilyen munkát végző kutatók csak biztonságosabbá és jobbá tehetik mindannyiunk dolgát. Hangsúlyoznunk kell azt a tényt, hogy a Leviathan munkatársai nem beszélnek végzetet és komorságot, csupán hasznos tényeket mutatnak be - a végzet és a komorság külső forrásokból származik.
Forrás: Leviathan Biztonsági Csoport
Hallgatta már a hét Android Central Podcastját?
Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtartókkal és különleges vendégekkel.
- Feliratkozás a Pocket Cast-okra: Hang
- Feliratkozás a Spotify-ra: Hang
- Feliratkozás az iTunes-ra: Hang
Linkjeink segítségével jutalékot kaphatunk a vásárlásokért. Tudj meg többet.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, remekül hangzik, nem kerül túl sokba, és könnyen elfér egy zsebben.
Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.
Az Xperia 1 továbbra is a kedvenc telefonunk a videofelvételek készítéséhez.
Ha a videofelvétel a te dolgod, akkor ne keressen tovább, mint a Sony Xperia 1 - nagy képernyőt, három nagyszerű kamerát és rendkívül robusztus kézi videovezérlőket kínál.