Hiç bitmeyen hikayesinin sonuncusu Android güvenliği çıktı ve bu sefer herhangi bir izin bildirmezse bir uygulamanın nelere erişebileceğinden bahsediyor. (Başka bir deyişle, normal işlevsellik uygulamalarının taleplerini istemezse, tüm bir uygulamanın görebileceği şeydir.) Bazıları bunu hiçbir şey yapmadığını söylüyor. endişeleniyorsanız, diğerleri bunu dünyanın en popüler cep telefonu işletim sistemini lanetlemek için kullanıyorlar, ancak bununla yapılacak en iyi şeyin ne olduğunu açıklamak olduğunu düşünüyoruz. olay.
Bir grup güvenlik araştırmacısı, üzerinde çalıştığı Android sisteminden tam olarak ne tür bilgiler alabileceklerini bulmak için hiçbir izin beyan etmeyen bir uygulama oluşturmak için yola çıktı. Bu tür şeyler her gün yapılıyor ve hedef ne kadar popülerse, o kadar çok insan ona bakıyor. Biz aslında istemek bu tür şeyler yapmaları için ve zaman zaman insanlar kritik olan ve düzeltilmesi gereken şeyler bulurlar. Herkes yararlanır.
Verizon, Pixel 4a'yı yeni Unlimited hatlarında ayda sadece 10 $ 'a sunuyor
Bu sefer, no (none, nada, zilch gibi) içeren bir uygulama buldular. izinler çok ilginç üç şey yapabilirdi. Hiçbiri ciddi değil, ama hepsine biraz bakmaya değer. SD kart ile başlayacağız.
Herhangi bir uygulama yapabilir okumak SD kartınızdaki veriler. Hep böyleydi ve hep böyle olacak. (SD karta yazmak, izin gerektiren şeydir.) Güvenli, gizli oluşturmak için yardımcı programlar mevcuttur. klasörleri diğer uygulamalardan koruyun, ancak varsayılan olarak SD karta yazılan tüm veriler herhangi bir uygulama için oradadır Görmek. Bu, tasarım gereğidir, çünkü bilgisayarımızın, taktığımızda paylaşılabilir bölümlerdeki (SD kartlar gibi) tüm verilere erişmesine izin vermek istiyoruz. Android'in daha yeni sürümleri, farklı bir bölümleme yöntemi ve bundan uzaklaşan verileri paylaşmanın farklı bir yolunu kullanır, ancak sonra hepimiz MTP kullanma konusunda kaltak. (Phil olmadığınız sürece, ancak MTP'den hoşlanmıyor.) Bu kolay bir çözüm - SD kartınıza hassas veriler koymayın. SD kartınıza hassas veriler yerleştiren uygulamaları kullanmayın. Ardından, programların görebilmeleri gereken verileri görebilecekleri konusunda endişelenmeyi bırakın.
Eğer bir inek iseniz buldukları sonraki şey gerçekten ilginçtir - /data/system/packages.list dosyasını açık bir izin olmadan okuyabilirler. Bu kendi başına bir tehdit oluşturmaz, ancak ne olduğunu bilerek uygulamaları bir kullanıcının yüklediği, telefonlarının veya tabletlerinin güvenliğini tehlikeye atmak için hangi istismarların yararlı olabileceğini bilmenin harika bir yoludur. Diğer uygulamalardaki güvenlik açıklarını düşünün - araştırmacıların kullandığı örnek Skype'tı. Bir istismarın var olduğunu bilmek, bir saldırganın onu hedef almaya çalışabileceği anlamına gelir. Güvensiz olduğu bilinen bir uygulamayı hedeflemenin muhtemelen bunu yapmak için bazı izinler gerektireceğini belirtmekte fayda var. (Ayrıca, Skype'ın izin sorununu hızlı bir şekilde kabul ettiğini ve düzelttiğini herkese hatırlatmaya değer.)
Son olarak, / proc dizininin sorgulandığında biraz veri verdiğini keşfettiler. Örnekleri, Android ID, çekirdek sürümü ve ROM sürümü gibi şeyleri okuyabildiklerini gösteriyor. / Proc dizininde bulunabilecek daha pek çok şey var, ancak / proc'un gerçek bir dosya sistemi olmadığını hatırlamamız gerekiyor. Kök gezgini ile kendinize bakın - çalışma zamanında oluşturulan 0 baytlık dosyalarla dolu ve çalışan çekirdekle iletişim kurmak için uygulamalar ve yazılımlar için tasarlanmıştır. Orada depolanan gerçek hassas veriler yoktur ve telefonun gücü açıldığında bunların tümü silinir ve yeniden yazılır. Birinin çekirdek sürümünüzü veya 16 basamaklı Android kimliğinizi bulabileceğinden endişeleniyorsanız, hala açık İnternet izinleri olmadan herhangi bir yere gönderilen bu bilgileri alma engeliyle karşı karşıyadır.
İnsanların bu tür sorunları bulmak için derinlemesine araştırma yaptıklarından memnunuz ve bunlar ciddi bir tanım gereği kritik olmasa da, Google'ı bunlardan haberdar etmek iyidir. Bu tür işleri yapan araştırmacılar, işleri hepimiz için daha güvenli ve daha iyi hale getirebilirler. Ve Leviathan'daki arkadaşların kıyametten ve kasvetten bahsetmediklerini, sadece gerçekleri faydalı bir şekilde sundukları - kıyamet ve kasvet dış kaynaklardan geliyor.
Kaynak: Leviathan Güvenlik Grubu
Bu haftanın Android Central Podcast'ini dinlediniz mi?
Her hafta, Android Central Podcast size en son teknoloji haberlerini, analizleri ve önemli konuları tanıdık yardımcı sunucular ve özel konuklarla birlikte getiriyor.
- Cep Yayınlarında Abone Ol: Ses
- Spotify'da abone ol: Ses
- İTunes'da abone ol: Ses
Bağlantılarımızı kullanarak satın alımlar için komisyon kazanabiliriz. Daha fazla bilgi edin.
Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.
PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.
Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.
Nokia, 200 doların altında iki yeni bütçe Android One telefonunu piyasaya sürdü.
Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son eklemeleridir. Her ikisi de Android One cihazları olduğundan, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.
Xperia 1, video çekmek için hala en sevdiğimiz telefon.
Video kaydı size göreyse, Sony Xperia 1'den başkasına bakmayın - geniş bir ekran, üç harika kamera ve son derece sağlam manuel video kontrolleri sunar.