Det senaste i den oändliga historien om Android-säkerhet är ute, och den här gången talar det om vad en app kan komma åt om den förklarar inga behörigheter. (För att uttrycka det på ett annat sätt, vad en applikation kan se om den inte begär någon av de vanliga applikationsbegärandena för appar.) Vissa människor gör det som inget att oroa sig för, andra använder det i sin strävan att fördömma världens mest populära mobiloperativsystem, men vi tror att det bästa med det är att förklara vad happening.
En grupp säkerhetsforskare planerade att skapa en app som förklarar inga behörigheter för att ta reda på exakt vilken typ av information de kunde få ut ur Android-systemet den körde på. Denna typ av saker görs varje dag, och ju mer populärt målet är, desto fler tittar på det. Vi faktiskt vilja dem att göra den här typen av saker, och då och då hittar folk saker som är kritiska och behöver fixas. Alla har nytta av det.
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
Den här gången fann de att en app utan (som i ingen, nada, zilch)
behörigheter kunde göra tre mycket intressanta saker. Ingen är seriös, men alla är värda att titta lite på. Vi börjar med SD-kortet.Alla appar kan läsa data på ditt SD-kort. Det har alltid varit så och det kommer alltid att vara så. (Att skriva till SD-kortet är det som behöver tillstånd.) Verktyg finns för att skapa säker, dold mappar och skydda dem från andra appar, men som standard finns all data som skrivs till SD-kortet för någon app att se. Detta är av design, eftersom vi vill tillåta att vår dator får tillgång till all data på delbara partitioner (som SD-kort) när vi ansluter dem. Nyare versioner av Android använder en annan partitioneringsmetod och ett annat sätt att dela data som rör sig bort från detta, men då får vi alla tik om att använda MTP. (Om du inte är Phil, men han är lite nöjd med att gilla MTP.) Det här är en enkel fix - lägg inte känsliga data på ditt SD-kort. Använd inte appar som lägger känslig data på ditt SD-kort. Sluta sedan oroa dig för att program kan se data som de ska kunna se.
Nästa sak de hittade är väldigt intressant om du är en nörd - en kan läsa filen /data/system/packages.list utan uttryckligt tillstånd. Detta utgör inget hot på egen hand utan att veta vad applikationer en användare har installerat är ett utmärkt sätt att veta vilka exploater som kan vara användbara för att kompromissa med sin telefon eller surfplatta. Tänk på sårbarheter i andra appar - exemplet forskarna använde var Skype. Att veta att ett utnyttjande finns det betyder att en angripare kan försöka rikta in den. Det är värt att nämna att inriktning på en känd osäker app antagligen skulle kräva vissa behörigheter för det. (Och det är också värt att påminna folk om att Skype snabbt erkände och fixade sitt tillståndsproblem.)
Slutligen upptäckte de att katalogen / proc ger lite data när de frågas. Deras exempel visar att de kan läsa saker som Android-ID, kärnversion och ROM-version. Det finns mycket mer som finns i katalogen / proc, men vi måste komma ihåg att / proc inte är ett riktigt filsystem. Titta på din med root explorer - den är full av 0-byte-filer som skapas vid körning och är utformad för appar och programvara för att kommunicera med den körande kärnan. Det finns inga riktiga känsliga data lagrade där, och allt raderas och skrivs om när telefonen slås på. Om du är orolig för att någon kanske kan hitta din kärnversion eller ditt 16-siffriga Android-ID, du har fortfarande hindret att få den informationen skickad var som helst utan uttryckliga Internetbehörigheter.
Vi är glada att människor gräver djupt för att hitta den här typen av problem, och även om dessa inte är kritiska enligt någon seriös definition är det bra att göra Google medveten om dem. Forskare som gör den här typen av arbete kan bara göra saker säkrare och bättre för oss alla. Och vi måste betona den punkten att kamraterna i Leviathan inte pratar undergång och dysterhet, de presenterar bara fakta på ett användbart sätt - doom och dysterhet kommer från externa källor.
Källa: Leviathan Security Group
Har du lyssnat på veckans Android Central Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och specialgäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Xperia 1 är fortfarande vår favorittelefon för videoinspelning.
Om videoinspelning är din grej, leta inte längre än Sony Xperia 1 - den har en stor skärm, tre fantastiska kameror och extremt robusta manuella videokontroller.