Naujausias nesibaigiantis pasakojimas apie „Android“ sauga yra išjungtas, ir šį kartą kalbama apie tai, ką programa gali pasiekti, jei ji nedeklaruoja jokių leidimų. (Kitaip tariant, ką gali matyti visa programa, jei ji neprašo jokios įprastos funkcionalumo programos užklausos.) Kai kurie žmonės tai daro niekuo nerimaujate, kiti naudojasi tuo, kad sugadintų populiariausias pasaulyje mobiliojo telefono operacines sistemas, tačiau mes suprantame, kad geriausia su tuo padaryti, paaiškinti vyksta.
Saugumo tyrinėtojų grupė nusprendė sukurti programą, kuri nedeklaruoja jokių leidimų tiksliai sužinoti, kokią informaciją jie galėtų gauti iš „Android“ sistemos, kurioje ji veikė. Tokie dalykai daromi kiekvieną dieną, ir kuo populiaresnis taikinys, tuo daugiau žmonių į tai žiūri. Mes iš tikrųjų nori jiems daryti tokius dalykus ir laikas nuo laiko žmonės randa kritinių dalykų, kuriuos reikia taisyti. Nauda yra visiems.
„Verizon“ siūlo „Pixel 4a“ tik už 10 USD per mėnesį naujose „Unlimited“ linijose
Šį kartą jie nustatė, kad programa, kurioje nėra (kaip niekas, nada, zilch)
leidimus galėtų padaryti tris labai įdomius dalykus. Nė vienas nėra rimtas, tačiau į juos verta šiek tiek pažvelgti. Pradėsime nuo SD kortelės.Bet kuri programa gali skaityti duomenis jūsų SD kortelėje. Tai buvo visada taip ir bus visada. (Rašant į SD kortelę reikia leidimo.) Paslaugos yra prieinamos saugiam, paslėptam sukurti aplankus ir apsaugokite juos nuo kitų programų, tačiau pagal numatytuosius nustatymus visi duomenys, įrašyti į SD kortelę, yra bet kurioje programoje matyti. Tai yra pagal konstrukciją, nes mes norime leisti savo kompiuteriui prieiti prie visų duomenų, esančių bendrinamose skaidiniuose (pvz., SD kortelėse), kai juos prijungiame. Naujesnėse „Android“ versijose naudojamas kitoks skaidymo metodas ir kitoks būdas dalytis duomenimis, kurie nutolsta nuo to, bet tada mes visi kalė apie MTP naudojimą. (Nebent esate Philas, bet jis mėgsta MTP.) Tai lengva ištaisyti - nedėkite neskelbtinų duomenų į savo SD kortelę. Nenaudokite programų, kurios į jūsų SD kortelę įdeda neskelbtinus duomenis. Tada nustokite jaudintis dėl programų, galinčių matyti duomenis, kuriuos jie turėtų matyti.
Kitas dalykas, kurį jie rado, yra tikrai įdomus, jei esate geekas - gali skaityti failą /data/system/packages.list be aiškaus leidimo. Tai savaime nekelia jokios grėsmės, bet žinant ką programos įdiegtas vartotojas yra puikus būdas sužinoti, kokie išnaudojimai gali būti naudingi norint pažeisti jų telefoną ar planšetinį kompiuterį. Pagalvokite apie kitų programų pažeidžiamumą - tyrėjų naudojamas pavyzdys buvo „Skype“. Žinant, kad egzistuoja išnaudojimas, tai reiškia, kad užpuolikas gali bandyti nukreipti jį. Verta paminėti, kad norint nukreipti žinomą nesaugią programą, tam tikriausiai reikės tam tikrų leidimų. (Taip pat verta priminti žmonėms, kad „Skype“ greitai suprato ir išsprendė leidimų problemą.)
Galiausiai jie atrado, kad / proc katalogas pateikia šiek tiek duomenų, kai užduodama užklausą. Jų pavyzdys rodo, kad jie gali skaityti tokius dalykus kaip „Android ID“, branduolio versija ir ROM versija. / Proc kataloge galima rasti daug daugiau, tačiau turime prisiminti, kad / proc nėra tikra failų sistema. Pažvelkite į savo su „root explorer“ - jame pilna 0 baitų failų, kurie sukurti vykdymo metu ir yra skirti programoms ir programinei įrangai bendrauti su veikiančiu branduoliu. Ten nėra saugomi tikri neskelbtini duomenys, ir visa tai ištrinama ir perrašoma, kai telefonas yra maitinamas. Jei nerimaujate, kad kažkas gali rasti jūsų branduolio versiją arba 16 skaitmenų „Android“ ID, jūs vis dar turi kliūtį, kad ta informacija būtų siunčiama bet kur be aiškaus interneto leidimo.
Džiaugiamės, kad žmonės gilinasi, norėdami rasti tokio pobūdžio problemas, ir nors jie nėra kritiški pagal rimtą apibrėžimą, gerai, jei apie juos informuojate „Google“. Tyrėjai, dirbantys tokį darbą, gali padaryti viską saugesniu ir geresniu. Ir turime pabrėžti, kad „Leviathan“ draugai nekalba apie pražūtį ir niūrumą, jie tik naudingai pateikia faktus - pražūtis ir niūrumas kyla iš išorinių šaltinių.
Šaltinis: „Leviatano“ saugumo grupė
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technikos naujienas, analizę ir naujienas su pažįstamais bendraautoriais ir specialiais svečiais.
- Užsiprenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau.
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
„Xperia 1“ vis dar yra mėgstamiausias vaizdo įrašų telefonas.
Jei vaizdo įrašymas yra jūsų reikalas, tada nežiūrėkite toliau kaip į „Sony Xperia 1“ - jame yra didelis ekranas, trys puikios kameros ir ypač patikimi rankiniai vaizdo valdikliai.