Najnovejše v neskončni zgodbi o Varnost Androida je zunaj in tokrat govori o tem, do česa lahko aplikacija dostopa, če ne izjavi, da nima dovoljenj. (Povedano drugače, kaj vse aplikacija lahko vidi, če ne zahteva nobene običajne zahteve aplikacij za funkcionalnost.) Nekateri menijo, da to ni nič skrbi, drugi ga uporabljajo v prizadevanju, da bi obsodili najbolj priljubljen operacijski sistem za mobilne telefone na svetu, vendar se nam zdi najbolje, da z njim razložimo, kaj se dogaja.
Skupina raziskovalcev varnosti se je odločila ustvariti aplikacijo, ki ne razglaša nobenih dovoljenj, da bi natančno ugotovila, katere vrste informacij lahko pridobijo iz sistema Android, v katerem je delovala. Takšne stvari počnejo vsak dan in bolj ko je tarča priljubljena, več ljudi si jo ogleduje. Pravzaprav želim to počnejo in ljudje občasno najdejo stvari, ki so kritične in jih je treba popraviti. Vsi imajo koristi.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
Tokrat so ugotovili, da je aplikacija brez (kot pri nobeni, nada, zilch)
dovoljenja lahko naredil tri zelo zanimive stvari. Nobena ni resna, a vse je vredno malo pogledati. Začeli bomo s kartico SD.Vsaka aplikacija lahko preberite podatke na kartici SD. Vedno je bilo tako in vedno bo tudi tako. (Za pisanje na kartico SD je potrebno dovoljenje.) Na voljo so pripomočki za varno in skrito ustvarjanje mape in jih zaščitite pred drugimi aplikacijami, vendar so vsi podatki, zapisani na kartico SD, privzeto na voljo za katero koli aplikacijo videti. To je načrtovano, saj želimo računalniku omogočiti dostop do vseh podatkov na particijah, ki jih je mogoče deliti (kot so kartice SD), ko jih priključimo. Novejše različice Androida uporabljajo drugačen način particioniranja in drugačen način skupne rabe podatkov, ki se oddaljujejo od tega, potem pa vsi pridemo do prasica o uporabi MTP. (Razen če ste Phil, vendar je malce nor na MTP.) To je enostavno popraviti - ne shranjujte občutljivih podatkov na kartico SD. Ne uporabljajte aplikacij, ki dajejo občutljive podatke na kartico SD. Nato nehajte skrbeti, ali bodo programi lahko videli podatke, ki naj bi jih lahko videli.
Naslednja stvar, ki so jo ugotovili, je res zanimiva, če ste geek - lahko bere datoteko /data/system/packages.list brez izrecnega dovoljenja. To samo po sebi ne ogroža, a vedeti kaj aplikacij uporabnik je namestil, je odličen način, da veste, kateri izkoriščanje je lahko koristno za ogrožanje njegovega telefona ali tabličnega računalnika. Pomislite na ranljivosti drugih aplikacij - primer raziskovalcev je bil Skype. Če vemo, da obstaja izkoriščanje, to pomeni, da ga lahko napadalec poskuša ciljati. Omeniti velja, da bi za ciljanje znane negotove aplikacije verjetno bila potrebna nekatera dovoljenja. (In prav tako je vredno spomniti ljudi, da je Skype hitro priznal in odpravil težavo z dovoljenji.)
Na koncu so odkrili, da imenik / proc pri povpraševanju daje malo podatkov. Njihov primer kaže, da lahko berejo stvari, kot so Android ID, različica jedra in različica ROM-a. V imeniku / proc lahko najdete še veliko več, vendar se moramo zavedati, da / proc ni pravi datotečni sistem. Poglejte svojo s korenskim raziskovalcem - polna je 0-bajtnih datotek, ustvarjenih med izvajanjem, in je namenjena aplikacijam in programski opremi za komunikacijo z zagnanim jedrom. Tam ni shranjenih resničnih občutljivih podatkov, vsi pa se izbrišejo in prepišejo, ko telefon vklopi energijo. Če vas skrbi, da bi lahko nekdo našel vašo različico jedra ali 16-mestni ID za Android, vi še vedno ovira pri pošiljanju teh informacij kamor koli brez izrecnih internetnih dovoljenj.
Veseli smo, da se ljudje poglobijo, da bi našli tovrstne težave, in čeprav jih nobena resna definicija ne kritizira, je dobro, da jih ozavestimo pri Googlu. Raziskovalci, ki opravljajo tovrstno delo, lahko samo naredijo stvari varnejše in boljše za vse nas. In poudariti moramo točko, da fantje iz Leviathana ne govorijo o pogubi in mraku, ampak le predstavljajo dejstva na koristen način - poguba in mrak prihajajo iz zunanjih virov.
Vir: Leviathan Security Group
Ste že poslušali Android Central Podcast tega tedna?
Android Central Podcast vam vsak teden prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.
- Naročite se na žepne zasedbe: Zvok
- Naročite se na Spotify: Zvok
- Naročite se v iTunes: Zvok
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.
Xperia 1 je še vedno naš najljubši telefon za snemanje videa.
Če je video snemanje vaša stvar, potem ne glejte dlje kot Sony Xperia 1 - ponuja velik zaslon, tri odlične kamere in izjemno robustne ročne video nadzornike.