Det siste i den uendelige historien om Android-sikkerhet er ute, og denne gangen snakker det om hva en app kan få tilgang til hvis den erklærer ingen tillatelser. (For å si det på en annen måte, hva en applikasjon kan se hvis den ikke ber om noen av de vanlige app-forespørslene.) Noen mennesker ser det ut til å være ingenting å bekymre deg for, andre bruker det i deres søken etter å fordømme verdens mest populære mobiltelefon-operativsystem, men vi ser det beste å gjøre med det er å forklare hva skjer.
En gruppe sikkerhetsforskere satte seg for å lage en app som erklærer ingen tillatelser for å finne ut nøyaktig hva slags informasjon de kunne få ut av fra Android-systemet den kjørte på. Denne typen ting gjøres hver dag, og jo mer populært målet er, desto flere ser på det. Vi faktisk ønsker dem til å gjøre denne typen ting, og fra tid til annen finner folk ting som er kritiske og må løses. Alle har fordeler.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Denne gangen fant de ut at en app uten (som i ingen, nada, zilch)
tillatelser kunne gjøre tre veldig interessante ting. Ingen er seriøse, men alle er verdt å se litt på. Vi begynner med SD-kortet.Enhver app kan lese data på SD-kortet ditt. Det har alltid vært slik, og det vil alltid være slik. (Å skrive til SD-kortet er det som trenger tillatelse.) Verktøy er tilgjengelige for å skape sikre, skjulte mapper og beskytte dem mot andre apper, men som standard er alle data skrevet til SD-kortet der for enhver app å se. Dette er av design, ettersom vi ønsker å la datamaskinen få tilgang til all data på delbare partisjoner (som SD-kort) når vi kobler dem til. Nyere versjoner av Android bruker en annen partisjoneringsmetode og en annen måte å dele data som beveger seg bort fra dette, men så kommer vi alle til tispe om å bruke MTP. (Med mindre du er Phil, men han er litt nøtt med å like MTP.) Dette er en enkel løsning - ikke legg sensitive data på SD-kortet ditt. Ikke bruk apper som setter sensitive data på SD-kortet ditt. Slutt så å bekymre deg for at programmer kan se data de skal kunne se.
Den neste tingen de fant er veldig interessant hvis du er en nerd - en kan lese filen /data/system/packages.list uten eksplisitt tillatelse. Dette utgjør ingen trussel alene, men å vite hva applikasjoner en bruker har installert er en fin måte å vite hvilke utnyttelser som kan være nyttige for å kompromittere telefonen eller nettbrettet. Tenk på sårbarheter i andre apper - eksemplet forskerne brukte var Skype. Å vite at det finnes en utnyttelse, betyr det at en angriper kan prøve å målrette den. Det er verdt å nevne at det å målrette mot en kjent usikker app sannsynligvis vil kreve noen tillatelser til å gjøre det. (Og det er også verdt å minne folk om at Skype raskt anerkjente og fikset problemet med tillatelser.)
Til slutt oppdaget de at / proc-katalogen gir litt data når de blir spurt. Eksemplet deres viser at de kan lese ting som Android-ID, kjerneversjon og ROM-versjon. Det finnes mye mer i katalogen / proc, men vi må huske at / proc ikke er et ekte filsystem. Se på din med root explorer - den er full av 0-byte filer som er opprettet ved kjøretid, og er designet for apper og programvare for å kommunisere med den kjørende kjernen. Det er ingen ekte sensitive data lagret der, og alt blir slettet og omskrevet når telefonen er strømsyklus. Hvis du er bekymret for at noen kan finne kjerneversjonen eller den 16-sifrede Android-IDen din, du har fortsatt hindringen for å få den informasjonen sendt hvor som helst uten eksplisitte internettillatelser.
Vi er glade for at folk graver dypt for å finne denne typen problemer, og selv om disse ikke er kritiske av noen seriøs definisjon, er det godt å gjøre Google oppmerksom på dem. Forskere som gjør denne typen arbeid, kan bare gjøre ting tryggere og bedre for oss alle. Og vi må understreke poenget med at medmenneskerne i Leviathan ikke snakker undergang og dysterhet, de presenterer bare fakta på en nyttig måte - undergangen og dysterheten kommer fra eksterne kilder.
Kilde: Leviathan Security Group
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Xperia 1 er fortsatt vår favoritttelefon for videoopptak.
Hvis videoopptak er din greie, så se ikke lenger enn Sony Xperia 1 - den har en stor skjerm, tre flotte kameraer og ekstremt robuste manuelle videokontroller.