מבהיל אבטחה של השבוע: מה יכול לעשות אפליקציה ללא הרשאות?

האחרון בסיפור הבלתי נגמר של אבטחת אנדרואיד יצא, והפעם זה מדבר על מה שאפליקציה יכולה לגשת אם היא מצהירה על הרשאות. (אם לומר זאת באופן אחר, מה כל היישום יכול לראות אם הוא אינו מבקש את כל בקשות האפליקציות הפונקציונליות הרגילות.) יש אנשים שהופכים את זה כאל דבר לדאוג שאחרים משתמשים בזה במסע שלהם לעזאזל עם מערכת ההפעלה הפופולרית ביותר בעולם לטלפונים ניידים, אך אנו חושבים שהדבר הטוב ביותר לעשות עם זה הוא להסביר מה מתרחש.

קבוצה של חוקרי אבטחה התכוונה ליצור אפליקציה שאינה מצהירה על הרשאות לברר בדיוק מאיזה מידע הם יכולים להפיק ממערכת האנדרואיד בה היא פועלת. דברים מסוג זה נעשים מדי יום, וככל שהיעד פופולרי יותר כך אנשים מסתכלים עליו יותר. אנחנו בעצם רוצה אותם לעשות דברים מסוג זה, ומדי פעם אנשים מוצאים דברים שהם קריטיים וזקוקים לתיקון. כולם מרוויחים.

הפעם הם גילו שאפליקציה ללא (כמו באף אחד, נאדה, זילך) הרשאות יכול לעשות שלושה דברים מעניינים מאוד. אף אחד לא רציני, אבל שווה להסתכל על כולם. נתחיל בכרטיס ה- SD.

כל אפליקציה יכולה לקרוא

נתונים בכרטיס ה- SD שלך. זה תמיד היה ככה וזה תמיד יהיה ככה. (כתיבה לכרטיס SD היא מה שצריך אישור.) שירותים זמינים ליצירת מאובטח, מוסתר תיקיות ולהגן עליהן מפני אפליקציות אחרות, אך כברירת מחדל כל הנתונים שנכתבים לכרטיס SD קיימים לכל אפליקציה לראות. זה לפי תכנון, מכיוון שאנחנו רוצים לאפשר למחשב שלנו לגשת לכל הנתונים במחיצות הניתנות לשיתוף (כמו כרטיסי SD) כאשר אנו מחברים אותם. גרסאות חדשות יותר של אנדרואיד משתמשות בשיטת חלוקה אחרת ובדרך אחרת לשתף נתונים שמתרחקים מכך, אבל אז כולנו מגיעים כלבה על השימוש ב- MTP. (אלא אם כן אתה פיל, אבל הוא קצת משוגע לאוהב MTP.) זה תיקון קל - אל תשים נתונים רגישים בכרטיס ה- SD שלך. אל תשתמש ביישומים שמכניסים נתונים רגישים לכרטיס ה- SD שלך. ואז הפסק לדאוג שתוכניות יוכלו לראות נתונים שהם אמורים להיות מסוגלים לראות.

הדבר הבא שמצאו הוא באמת מעניין אם אתה חנון - יכול לקרוא את הקובץ /data/system/packages.list ללא הרשאה מפורשת. זה לא מהווה איום בפני עצמו, אלא לדעת מה יישומים משתמש שהתקין זו דרך נהדרת לדעת אילו מנצלים עשויים להיות שימושיים לפגיעה בטלפון או בטאבלט שלהם. חשבו על נקודות תורפה באפליקציות אחרות - הדוגמה בה השתמשו החוקרים הייתה סקייפ. הידיעה שקיים נצלן שם זה אומר שתוקף יכול לנסות למקד אליו. ראוי להזכיר כי מיקוד לאפליקציה ידועה לא בטוחה ידרוש ככל הנראה הרשאות לכך. (וכדאי גם להזכיר לאנשים שסקייפ הודתה ותיקנה במהירות את בעיית ההרשאות שלה.)

לבסוף הם גילו שספריית / proc נותנת מעט נתונים כששואלים אותם. הדוגמה שלהם מראה שהם יכולים לקרוא דברים כמו מזהה אנדרואיד, גרסת הליבה וגרסת ה- ROM. יש עוד המון בספריה / proc, אך עלינו לזכור ש- proc אינה מערכת קבצים אמיתית. תסתכל על שלך עם Explorer Explorer - הוא מלא בקבצי 0 בתים שנוצרו בזמן ריצה, ומיועד לאפליקציות ותוכנות לתקשר עם הגרעין הפועל. אין שם נתונים רגישים אמיתיים, וכל זה נמחק ושכתב כשמחזירים את הטלפון. אם אתה חושש שמישהו יוכל למצוא את גרסת הליבה שלך או מזהה אנדרואיד בן 16 ספרות, אתה עדיין יש את המכשול להעביר את המידע הזה לכל מקום ללא הרשאות אינטרנט מפורשות.

אנו שמחים שאנשים מתעמקים במציאת נושאים מסוג זה, ולמרות שאלה אינם קריטיים על פי הגדרה רצינית כלשהי, כדאי לגרום לגוגל להיות מודעת אליהם. חוקרים שעושים עבודה מסוג זה יכולים רק להפוך את הדברים לבטוחים וטובים יותר עבור כולנו. ועלינו להדגיש את הנקודה שהחברים בלויתן אינם מדברים אבדון וקדרות, הם רק מציגים עובדות בצורה מועילה - האבדון והקדרות מגיעים ממקורות חיצוניים.

מָקוֹר: קבוצת אבטחה לויתן