O mais recente na história sem fim de Segurança Android está fora, e desta vez está falando sobre o que um aplicativo pode acessar se não declarar nenhuma permissão. (Colocando de outra forma, o que todo aplicativo pode ver se não solicitar nenhuma das solicitações de aplicativos de funcionalidade normal.) Algumas pessoas acreditam que não é nada para preocupam-se, outros o usam em sua busca para condenar o sistema operacional de celular mais popular do mundo, mas achamos que a melhor coisa a fazer com ele é explicar o acontecendo.
Um grupo de pesquisadores de segurança começou a criar um aplicativo que não declara permissões para descobrir exatamente de que tipo de informação eles poderiam obter do sistema Android em que estava sendo executado. Esse tipo de coisa é feito todos os dias e, quanto mais popular for o alvo, mais pessoas o verão. Nós na verdade quer eles fazem esse tipo de coisa e, de vez em quando, as pessoas encontram coisas que são críticas e precisam ser consertadas. Todos se beneficiam.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Desta vez, eles descobriram que um aplicativo sem (como em nenhum, nada, nada) permissões poderia fazer três coisas muito interessantes. Nenhum é sério, mas vale a pena dar uma olhada em todos. Começaremos com o cartão SD.
Qualquer aplicativo pode ler dados no seu cartão SD. Sempre foi assim e sempre será assim. (Gravar no cartão SD é o que precisa de permissão.) Utilitários estão disponíveis para criar pastas e protegê-los de outros aplicativos, mas por padrão todos os dados gravados no cartão SD estão lá para qualquer aplicativo ver. Isso ocorre por design, pois queremos permitir que nosso computador acesse todos os dados em partições compartilháveis (como cartões SD) quando os conectamos. As versões mais recentes do Android usam um método de particionamento diferente e uma maneira diferente de compartilhar dados que se afastam disso, mas então todos nós começamos vadia sobre o uso de MTP. (A menos que você seja Phil, mas ele é um pouco maluco por MTP.) Esta é uma solução fácil - não coloque dados confidenciais em seu cartão SD. Não use aplicativos que armazenam dados confidenciais em seu cartão SD. Em seguida, pare de se preocupar com os programas que podem ver os dados que deveriam ser capazes de ver.
A próxima coisa que eles descobriram é realmente interessante se você for um geek - pode ler o arquivo /data/system/packages.list sem permissão explícita. Isso não representa nenhuma ameaça por si só, mas sabendo o que formulários um usuário instalou é uma ótima maneira de saber quais exploits podem ser úteis para comprometer seu telefone ou tablet. Pense nas vulnerabilidades em outros aplicativos - o exemplo que os pesquisadores usaram foi o Skype. Saber que existe uma exploração significa que um invasor pode tentar atacá-la. No entanto, vale a pena mencionar que direcionar um aplicativo inseguro conhecido provavelmente exigiria algumas permissões para isso. (E também vale a pena lembrar às pessoas que o Skype rapidamente reconheceu e corrigiu seu problema de permissões.)
Finalmente, eles descobriram que o diretório / proc fornece alguns dados quando consultado. O exemplo deles mostra que eles podem ler coisas como ID do Android, versão do kernel e versão da ROM. Há muito mais coisas que podem ser encontradas no diretório / proc, mas precisamos lembrar que / proc não é um sistema de arquivos real. Olhe para o seu com o root explorer - ele está cheio de arquivos de 0 bytes que são criados em tempo de execução e é projetado para aplicativos e software se comunicarem com o kernel em execução. Não há dados realmente confidenciais armazenados lá, e todos são apagados e reescritos quando o telefone é desligado e religado. Se você está preocupado que alguém possa encontrar sua versão do kernel ou ID Android de 16 dígitos, você ainda tem o obstáculo de enviar essas informações a qualquer lugar sem permissões explícitas da Internet.
Estamos felizes que as pessoas estão se empenhando para encontrar esse tipo de problema e, embora eles não sejam críticos em nenhuma definição séria, é bom informar o Google sobre eles. Os pesquisadores que fazem esse tipo de trabalho só podem tornar as coisas mais seguras e melhores para todos nós. E precisamos enfatizar o fato de que os companheiros do Leviathan não estão falando de desgraça e tristeza, eles estão apenas apresentando fatos de uma forma útil - a desgraça e a tristeza vêm de fontes externas.
Fonte: Leviathan Security Group
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de $ 200
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
O Xperia 1 ainda é nosso telefone favorito para gravar vídeo.
Se você gosta de gravar vídeos, não procure além do Sony Xperia 1 - ele oferece uma tela grande, três câmeras excelentes e controles manuais de vídeo extremamente robustos.