Het nieuwste in het nooit eindigende verhaal van Android-beveiliging is uit, en deze keer gaat het over waartoe een app toegang heeft als deze geen machtigingen declareert. (Om het anders te zeggen, wat alle applicaties kunnen zien als ze niet om een van de normale functies van apps vragen.) Sommige mensen maken dat het niets is om zorgen, anderen gebruiken het in hun zoektocht om 's werelds populairste besturingssysteem voor mobiele telefoons te verdoemen, maar we denken dat het beste is om ermee te doen, is uitleggen wat gebeurt.
Een groep beveiligingsonderzoekers ging op zoek naar een app die geen toestemming geeft om erachter te komen wat voor soort informatie ze precies konden krijgen van het Android-systeem waarop het draaide. Dit soort dingen wordt elke dag gedaan, en hoe populairder het doelwit is, hoe meer mensen ernaar kijken. Wij eigenlijk willen ze om dit soort dingen te doen, en van tijd tot tijd vinden mensen dingen die kritiek zijn en opgelost moeten worden. Iedereen profiteert ervan.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Deze keer ontdekten ze dat een app zonder (zoals in none, nada, zilch) rechten kon drie zeer interessante dingen doen. Geen enkele is serieus, maar ze zijn allemaal de moeite waard om een beetje naar te kijken. We beginnen met de SD-kaart.
Elke app kan dat lezen gegevens op uw SD-kaart. Het is altijd zo geweest, en het zal altijd zo zijn. (Voor het schrijven naar de SD-kaart is toestemming nodig.) Er zijn hulpprogramma's beschikbaar om veilig, verborgen te maken mappen en bescherm ze tegen andere apps, maar standaard zijn alle gegevens die naar de SD-kaart worden geschreven, beschikbaar voor elke app zien. Dit is zo ontworpen, omdat we onze computer toegang willen geven tot alle gegevens op deelbare partities (zoals SD-kaarten) wanneer we ze aansluiten. Nieuwere versies van Android gebruiken een andere partitioneringsmethode en een andere manier om gegevens te delen die hiervan afwijken, maar dan komen we allemaal bij trut over het gebruik van MTP. (Tenzij je Phil bent, maar hij is een beetje gek op MTP.) Dit is een gemakkelijke oplossing - zet geen gevoelige gegevens op je SD-kaart. Gebruik geen apps die gevoelige gegevens op uw SD-kaart plaatsen. Maak je dan geen zorgen meer over programma's die gegevens kunnen zien die ze zouden moeten kunnen zien.
Het volgende dat ze vonden, is echt interessant als je een nerd bent: je kunt het bestand /data/system/packages.list lezen zonder expliciete toestemming. Dit vormt op zichzelf geen bedreiging, maar weet wat toepassingen een gebruiker heeft geïnstalleerd, is een geweldige manier om te weten welke exploits nuttig kunnen zijn om hun telefoon of tablet te compromitteren. Denk aan kwetsbaarheden in andere apps - het voorbeeld dat de onderzoekers gebruikten was Skype. Wetende dat er een exploit bestaat, betekent dit dat een aanvaller kan proberen zich erop te richten. Het is vermeldenswaard dat het targeten van een bekende onveilige app waarschijnlijk enkele machtigingen vereist om dit te doen. (En het is ook de moeite waard om mensen eraan te herinneren dat Skype het probleem met de machtigingen snel heeft erkend en opgelost.)
Ten slotte ontdekten ze dat de directory / proc een beetje gegevens geeft wanneer er naar wordt gevraagd. Hun voorbeeld laat zien dat ze dingen kunnen lezen als de Android ID, kernelversie en ROM-versie. Er is nog veel meer te vinden in de directory / proc, maar we moeten niet vergeten dat / proc geen echt bestandssysteem is. Bekijk de jouwe met root explorer - het staat vol met 0-byte-bestanden die tijdens runtime zijn gemaakt en is ontworpen om apps en software te laten communiceren met de actieve kernel. Er zijn daar geen echt gevoelige gegevens opgeslagen en deze worden allemaal gewist en herschreven wanneer de telefoon wordt uitgezet. Als u zich zorgen maakt dat iemand uw kernelversie of 16-cijferige Android-ID kan vinden, kunt u hebben nog steeds de hindernis om die informatie overal naartoe te sturen zonder expliciete internetrechten.
We zijn blij dat mensen diep graven om dit soort problemen te vinden, en hoewel deze volgens geen enkele serieuze definitie kritiek zijn, is het goed om Google er bewust van te maken. Onderzoekers die dit soort werk doen, kunnen de dingen alleen maar veiliger en beter maken voor ons allemaal. En we moeten het punt benadrukken dat de kerels bij Leviathan het niet over kommer en kwel hebben, maar alleen feiten op een nuttige manier presenteren - de kommer en kwel komen van externe bronnen.
Bron: Leviathan Security Group
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
De Xperia 1 is nog steeds onze favoriete telefoon voor het maken van video-opnamen.
Als video-opname jouw ding is, zoek dan niet verder dan de Sony Xperia 1 - hij biedt een groot scherm, drie geweldige camera's en extreem robuuste handmatige videobediening.