Naukowcy z NC State University przeprowadzili badanie ośmiu telefonów z Androidem (HTC Legend, EVO 4G i Wildfire S; Droid i Droid X Motoroli; Epic 4G Samsunga oraz Nexus One i Nexus S z Google) i znaleźli więcej potencjalnie niepokojących informacji. Podczas gdy telefony Nexus i OG Droid (telefony z fabrycznym Androidem) miały jeden drobny problem bezpieczeństwa, a mianowicie błąd kodu w aplikacji pico, który pozwalał innej aplikacji na usunięcie aplikacji instalatora pico, reszta grona nie dała rady dobrze. Wszystkie telefony z dostosowanymi wersjami Androida miały poważne problemy z bezpieczeństwem
W szczególności, wykorzystując te przeciekające funkcje, niezaufana aplikacja na tych telefonach, których dotyczy problem, może usunąć dane użytkownika z telefonów, wysłać wiadomości SMS (np. Na numery premium), nagrać rozmowę użytkownika lub uzyskać geolokalizacje użytkownika - wszystko bez pytania o pozwolenie.
Najwyraźniej ponieważ aplikacje systemowe zbudowane przez takich dostawców, jak HTC, Moto i Samsung są podpisane za pomocą tego samego klucza podpisu cyfrowego, mogą się wzajemnie komunikować i uzyskiwać dostęp do swoich danych. Chociaż jest to poważna wada bezpieczeństwa, możliwe jest również, że zostało to wykonane projektowo, aby aplikacje takie jak Friendstream lub Social Hub mogły z łatwością parsować dane aplikacji sieci społecznościowych i agregować je, a badacze właśnie znaleźli nową metodę wykorzystania tego systemu.
Choć implikacje dla Androida są nowe, pomysł wykorzystania ataków na popularne platformy komputerowe nie jest. W miarę wzrostu popularności Androida coraz więcej osób będzie koncentrować się na wyszukiwaniu i zgłaszaniu exploitów w stosunku do systemu operacyjnego. Badacze sumiennie zgłosili ten problem Google i wszystkim producentom OEM, chociaż wyrażają oni trudności w kontaktach z HTC i Samsungiem, którzy (jak w tym piśmie) badacze twierdzą, że „bardzo wolno reagują, jeśli nie ignorują naszych raportów / zapytań”.
Powinieneś się martwić? Nie więcej niż wczoraj. Istnieje złośliwe oprogramowanie, ponieważ wiele osób korzysta z Androida, a użytkownicy nie są ograniczeni do instalowania tylko zatwierdzonych aplikacji. Jeśli tego rodzaju raporty Ci przeszkadzają - a to dość słuszna odpowiedź - nadal masz możliwość instalowania tylko zaufanych aplikacji przez znanych programistów lub innych opcji, aby nie uruchamiać uszkodzonego oprogramowania na telefonie. I chociaż nikt nie chce słyszeć, jak mówię to ponownie (ale i tak mam zamiar to zrobić), urządzenia Nexus z systemem Android w takiej formie, w jakiej zostały napisane, są ponownie odporne na te poważne problemy, więc zawsze są lepszym wyborem, jeśli cenisz swoje bezpieczeństwo.
Źródło: NC State University CSC (.pdf)
