Cel mai recent din povestea nesfârșită a lui Securitate Android a ieșit și de data aceasta vorbește despre ce poate accesa o aplicație dacă nu declară permisiuni. (Cu alte cuvinte, ceea ce poate vedea o aplicație dacă nu solicită niciuna dintre funcționalitățile normale solicitate de aplicații.) Unii oameni consideră că nu este nimic vă faceți griji, alții îl folosesc în căutarea lor de a blestema cel mai popular sistem de operare pentru telefoane mobile din lume, dar ne dăm seama că cel mai bun lucru de făcut este să explicăm ce este se întâmplă.
Un grup de cercetători în domeniul securității și-a propus să creeze o aplicație care să nu declare permisiuni pentru a afla exact din ce fel de informații ar putea obține din sistemul Android pe care rulează. Acest lucru se face în fiecare zi și cu cât este mai populară ținta, cu atât mai mulți oameni se uită la ea. Noi de fapt vrei ei să facă astfel de lucruri și, din când în când, oamenii găsesc lucruri care sunt critice și care trebuie reparate. Toată lumea beneficiază.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
De data aceasta, au descoperit că o aplicație fără (ca în niciuna, nada, zilch) permisiuni ar putea face trei lucruri foarte interesante. Niciunul nu este serios, dar toate merită să ne uităm puțin. Vom începe cu cardul SD.
Orice aplicație poate citit datele de pe cardul dvs. SD. A fost întotdeauna așa și va fi întotdeauna așa. (Scrierea pe cardul SD este ceea ce are nevoie de o permisiune.) Utilitățile sunt disponibile pentru a crea sigure, ascunse și protejați-le de alte aplicații, dar în mod implicit orice date scrise pe cardul SD sunt disponibile pentru orice aplicație a vedea. Acest lucru este prin design, deoarece vrem să permitem computerului nostru să acceseze toate datele de pe partițiile care pot fi partajate (cum ar fi cardurile SD) atunci când le conectăm. Versiunile mai noi de Android utilizează o metodă de partiționare diferită și un mod diferit de a partaja date care se îndepărtează de aceasta, dar apoi ajungem cu toții la cățea despre utilizarea MTP. (Cu excepția cazului în care sunteți Phil, dar el este un pic nebun la MTP.) Aceasta este o soluție ușoară - nu puneți date sensibile pe cardul SD. Nu utilizați aplicații care introduc date sensibile pe cardul SD. Apoi, nu mai vă faceți griji cu privire la faptul că programele pot vedea date pe care ar trebui să le poată vedea.
Următorul lucru pe care l-au găsit este foarte interesant dacă sunteți un geek - puteți citi fișierul /data/system/packages.list fără permisiunea explicită. Acest lucru nu reprezintă o amenințare de la sine, ci știind ce aplicații un utilizator instalat este o modalitate excelentă de a ști ce exploatări pot fi utile pentru a-și compromite telefonul sau tableta. Gândiți-vă la vulnerabilitățile din alte aplicații - exemplul folosit de cercetători a fost Skype. Știind că există un exploit există, înseamnă că un atacator ar putea încerca să-l vizeze. Este demn de menționat faptul că, pentru a viza, o aplicație cunoscută nesigură, ar necesita probabil anumite permisiuni pentru a face acest lucru. (Și merită, de asemenea, să le reamintim oamenilor că Skype a recunoscut rapid și și-a remediat problema permisiunilor.)
În cele din urmă, au descoperit că directorul / proc oferă câteva date atunci când este solicitat. Exemplul lor arată că pot citi lucruri precum ID-ul Android, versiunea kernel și versiunea ROM. Există multe altele care pot fi găsite în directorul / proc, dar trebuie să ne amintim că / proc nu este un sistem de fișiere real. Uitați-vă la dvs. cu root explorer - este plin de fișiere de 0 octeți care sunt create în timp de execuție și este conceput pentru aplicații și software pentru a comunica cu nucleul care rulează. Nu există date sensibile reale stocate acolo și toate sunt șterse și rescrise atunci când telefonul este pornit. Dacă sunteți îngrijorat că cineva ar putea să vă găsească versiunea kernel sau ID-ul Android din 16 cifre, dvs. Încă mai avem obstacolul în a primi aceste informații oriunde fără permisiuni explicite de internet.
Ne bucurăm că oamenii se adâncesc pentru a găsi astfel de probleme și, deși acestea nu sunt esențiale prin definiții serioase, este bine să îl conștientizăm pe Google. Cercetătorii care fac acest tip de muncă pot face lucrurile mai sigure și mai bune doar pentru noi toți. Și trebuie să subliniem faptul că semenii de la Leviathan nu vorbesc despre doom și întuneric, ci doar prezintă fapte într-un mod util - condamnarea și întunericul provin din surse externe.
Sursă: Grupul de securitate Leviathan
Ai ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii, cu co-gazde familiare și invitați speciali.
- Abonați-vă în Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai recente adăugiri la gama de smartphone-uri bugetare HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Xperia 1 este încă telefonul nostru preferat pentru filmări video.
Dacă înregistrarea video este ceea ce vă place, atunci nu căutați mai departe de Sony Xperia 1 - oferă un ecran mare, trei camere excelente și comenzi video manuale extrem de robuste.