Najnowsza wersja niekończącej się historii zabezpieczeń Androida jest dostępna, a tym razem mówi o tym, do czego aplikacja może uzyskać dostęp, jeśli nie zgłosi żadnych uprawnień. (Innymi słowy, wszystko, co aplikacja może zobaczyć, jeśli nie żąda żadnej z normalnych funkcji aplikacji). Niektórzy ludzie sprawiają, że nie ma się czym martwić, inni używają jej w swoich zadaniach, by zranić świat najpopularniejszy system operacyjny telefonu komórkowego, ale naszym zdaniem najlepszą rzeczą jest wyjaśnienie, co się dzieje.
Grupa naukowców zajmujących się bezpieczeństwem postanowiła stworzyć aplikację, która nie zgłasza żadnych uprawnień, aby dowiedzieć się, jakie informacje mogą uzyskać z systemu Android, na którym była uruchomiona. Tego rodzaju rzeczy są wykonywane codziennie, a im bardziej popularny jest cel, tym więcej ludzi na niego patrzy. Właściwie chcemy, aby robili takie rzeczy i od czasu do czasu ludzie znajdują rzeczy, które są krytyczne i wymagają naprawy. Korzyści dla wszystkich.
Tym razem odkryli, że aplikacja bez uprawnień (jak w none, nada, zilch) może zrobić trzy bardzo interesujące rzeczy. Żadne z nich nie są poważne, ale wszyscy warto się trochę przyjrzeć. Zaczniemy od karty SD.
Każda aplikacja może odczytywać dane z karty SD. Zawsze tak było i zawsze tak będzie. (Zapis na kartę SD wymaga pozwolenia.) Dostępne są narzędzia do tworzenia bezpiecznych, ukrytych folderów i ochrony ich przed innymi aplikacjami, ale domyślnie wszelkie dane zapisane na karcie SD są dostępne dla każdej aplikacji. Jest to zgodne z projektem, ponieważ chcemy umożliwić naszemu komputerowi dostęp do wszystkich danych na partycjach współdzielonych (takich jak karty SD) po ich podłączeniu. Nowsze wersje Androida używają innej metody partycjonowania i innego sposobu udostępniania danych, które się odsuwają z tego, ale potem wszyscy zaczynamy się zastanawiać nad użyciem MTP. (Chyba że jesteś Philem, ale jest trochę szalony w polubieniu MTP.) Jest to łatwa poprawka - nie umieszczaj poufnych danych na karcie SD. Nie używaj aplikacji, które umieszczają poufne dane na karcie SD. Następnie przestań się martwić, że programy będą mogły zobaczyć dane, które powinny.
Następną rzeczą, którą znaleźli, jest naprawdę interesująca, jeśli jesteś maniakiem - możesz przeczytać plik /data/system/packages.list bez wyraźnego pozwolenia. Nie stanowi to samo w sobie żadnego zagrożenia, ale wiedza o tym, jakie aplikacje zainstalował użytkownik, to świetny sposób, aby dowiedzieć się, które exploity mogą być przydatne w celu naruszenia bezpieczeństwa telefonu lub tabletu. Pomyśl o lukach w innych aplikacjach - przykładem był badacz Skype. Wiedząc, że exploit istnieje, oznacza to, że osoba atakująca może spróbować go wycelować. Warto jednak wspomnieć, że kierowanie na znaną niepewną aplikację prawdopodobnie wymagałoby do tego pewnych uprawnień. (Warto też przypomnieć, że Skype szybko potwierdził i rozwiązał problem z uprawnieniami).
W końcu odkryli, że katalog / proc podaje trochę danych, gdy jest o to pytany. Ich przykład pokazuje, że potrafią czytać takie rzeczy, jak identyfikator Androida, wersja jądra i wersja ROM. O wiele więcej można znaleźć w katalogu / proc, ale musimy pamiętać, że / proc nie jest prawdziwym systemem plików. Spójrz na swoje z Eksploratorem root - jest pełen 0-bajtowych plików tworzonych w czasie wykonywania i jest przeznaczony do aplikacji i oprogramowania do komunikacji z działającym jądrem. Nie są tam przechowywane prawdziwe wrażliwe dane, a wszystko to jest kasowane i przepisywane, gdy telefon jest wyłączany. Jeśli obawiasz się, że ktoś może znaleźć wersję jądra lub 16-cyfrowy identyfikator Androida, nadal masz problem z wysyłaniem tych informacji w dowolne miejsce bez wyraźnych uprawnień internetowych.
Cieszymy się, że ludzie wnikają głęboko, aby znaleźć tego rodzaju problemy, i choć nie są one krytyczne z żadnej poważnej definicji, dobrze jest uświadomić Google o nich. Naukowcy wykonujący tego rodzaju prace mogą tylko uczynić wszystko bezpieczniejszym i lepszym dla nas wszystkich. I musimy podkreślić, że koledzy z Lewiatanu nie mówią o zgubie i mroku, po prostu przedstawiają fakty w użyteczny sposób - los i mrok pochodzą z zewnętrznych źródeł.
Źródło: Leviathan Security Group
