Последнее в бесконечной истории Безопасность Android отсутствует, и на этот раз речь идет о том, к чему может получить доступ приложение, если оно не объявляет никаких разрешений. (Другими словами, то, что может видеть все приложение, если оно не запрашивает какие-либо обычные функциональные запросы приложений.) Некоторые люди считают, что это неважно. беспокоиться, другие используют его в своих поисках, чтобы проклясть самую популярную в мире ОС для мобильных телефонов, но мы считаем, что лучше всего с этим объяснить, что происходит.
Группа исследователей безопасности намеревалась создать приложение, которое не объявляет никаких разрешений, чтобы точно выяснить, какую информацию они могут получить из системы Android, на которой оно работает. Такого рода вещи делают каждый день, и чем популярнее становится цель, тем больше людей на нее смотрят. Мы на самом деле хотеть они делают такие вещи, и время от времени люди находят важные вещи, которые нужно исправить. Всем выгодно.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
На этот раз они обнаружили, что приложение без (например, none, nada, zilch) разрешения мог сделать три очень интересных вещи. Ни одно из них не является серьезным, но на все стоит присмотреться. Начнем с SD-карты.
Любое приложение может читать данные на вашей SD-карте. Так было всегда, и так будет всегда. (Для записи на SD-карту требуется разрешение.) Доступны утилиты для создания защищенных, скрытых папки и защищать их от других приложений, но по умолчанию любые данные, записанные на SD-карту, доступны для любого приложения увидеть. Это сделано намеренно, поскольку мы хотим, чтобы наш компьютер имел доступ ко всем данным на разделяемых разделах (например, SD-картах), когда мы их подключаем. В более новых версиях Android используется другой метод разделения и другой способ обмена данными, который отличается от этого, но тогда мы все получаем сука об использовании MTP. (Если вы не Фил, но он немного помешан на MTP.) Это простое решение - не помещайте конфиденциальные данные на SD-карту. Не используйте приложения, которые хранят конфиденциальные данные на вашей SD-карте. Тогда перестаньте беспокоиться о том, что программы могут видеть данные, которые они должны видеть.
Следующее, что они обнаружили, действительно интересно, если вы компьютерщик - вы можете прочитать файл /data/system/packages.list без явного разрешения. Само по себе это не представляет угрозы, но зная, что Приложения установил пользователь, это отличный способ узнать, какие эксплойты могут быть полезны для взлома его телефона или планшета. Подумайте об уязвимостях в других приложениях - в качестве примера исследователи использовали Skype. Знание о существовании эксплойта означает, что злоумышленник может попытаться атаковать его. Стоит отметить, что для таргетинга на известное небезопасное приложение, вероятно, потребуются некоторые разрешения для этого. (И также стоит напомнить людям, что Skype быстро признал и исправил проблему с разрешениями.)
Наконец, они обнаружили, что каталог / proc при запросе дает немного данных. Их пример показывает, что они могут читать такие вещи, как идентификатор Android, версия ядра и версия ПЗУ. В каталоге / proc можно найти гораздо больше, но мы должны помнить, что / proc не является настоящей файловой системой. Посмотрите на свой с помощью корневого проводника - он полон 0-байтовых файлов, которые создаются во время выполнения и предназначены для приложений и программного обеспечения, которые взаимодействуют с работающим ядром. Там нет никаких реальных конфиденциальных данных, и все они стираются и перезаписываются, когда телефон выключается и выключается. Если вы беспокоитесь о том, что кто-то может найти версию вашего ядра или 16-значный идентификатор Android, вы все еще есть препятствия для отправки этой информации куда угодно без явных разрешений в Интернете.
Мы рады, что люди глубоко копают, чтобы найти такого рода проблемы, и, хотя они не являются критическими по любому серьезному определению, хорошо, чтобы Google знал о них. Исследователи, выполняющие такую работу, могут сделать жизнь всех нас только безопаснее и лучше. И мы должны подчеркнуть, что ребята из Левиафана не говорят о гибели и мраке, они просто представляют факты в полезной форме - гибель и мрак приходят из внешних источников.
Источник: Группа безопасности Левиафана
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими комментариями со знакомыми соведущими и специальными гостями.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Xperia 1 по-прежнему остается нашим любимым телефоном для видеосъемки.
Если вам нравится запись видео, то обратите внимание на Sony Xperia 1 - он предлагает большой экран, три отличные камеры и чрезвычайно надежное ручное управление видео.