Последние новости в бесконечной истории безопасности Android опубликованы, и на этот раз они говорят о том, что приложение может получить к нему доступ, если оно не объявляет никаких разрешений. (Другими словами, то, что может видеть все приложение, если оно не запрашивает ни одного из приложений с нормальными функциональными возможностями, запрашивает.) Некоторые люди считают, что им не о чем беспокоиться, другие используют это в своих попытках проклясть мир самая популярная операционная система для мобильных телефонов, но мы полагаем, что лучшее, что можно с ней сделать, это объяснить, что происходит.
Группа исследователей в области безопасности намеревалась создать приложение, которое не объявляет никаких разрешений, чтобы выяснить, какую именно информацию они могли получить из системы Android, на которой оно работало. Такого рода вещи делаются каждый день, и чем популярнее цель, тем больше людей на нее смотрят. На самом деле мы хотим, чтобы они делали подобные вещи, и время от времени люди находят вещи, которые являются критическими и нуждаются в исправлении. Всем выгодно.
На этот раз они обнаружили, что приложение без разрешений (как у none, nada, zilch) может сделать три очень интересные вещи. Ни один из них не серьезен, но на все стоит обратить внимание. Начнем с SD-карты.
Любое приложение может читать данные на вашей SD-карте. Так было всегда, и так будет всегда. (Для записи на SD-карту требуется разрешение.) Утилиты доступны для создания защищенных, скрытых папок и защиты их от других приложений, но по умолчанию любые данные, записанные на SD-карту, доступны для просмотра любым приложением. Это сделано специально, так как мы хотим, чтобы наш компьютер имел доступ ко всем данным на разделяемых разделах (например, на SD-картах), когда мы их подключаем. В более новых версиях Android используется другой метод разделения и другой способ обмена удаленными данными из этого, но потом мы все рассуждаем об использовании MTP. (Если вы не Фил, но он немного помешан на подобных MTP.) Это легко исправить - не помещайте конфиденциальные данные на вашу SD-карту. Не используйте приложения, которые помещают конфиденциальные данные на вашу SD-карту. Затем перестаньте беспокоиться о том, что программы могут видеть данные, которые они должны видеть.
Следующее, что они нашли, действительно интересно, если вы фанат - он может прочитать файл /data/system/packages.list без явного разрешения. Само по себе это не представляет угрозы, но знание того, какие приложения установлен пользователем, является отличным способом узнать, какие эксплойты могут быть полезны для взлома их телефона или планшета. Подумайте об уязвимостях в других приложениях. Например, исследователи использовали Skype. Зная, что эксплойт существует, это значит, что злоумышленник может попытаться нацелиться на него. Стоит отметить, что нацеливание на известное небезопасное приложение, вероятно, потребует некоторых разрешений для этого. (Также стоит напомнить людям, что Skype быстро подтвердил и разрешил проблему с разрешениями.)
Наконец, они обнаружили, что каталог / proc дает немного данных при запросе. Их пример показывает, что они могут читать такие вещи, как Android ID, версия ядра и версия ROM. В каталоге / proc можно найти намного больше, но мы должны помнить, что / proc не является настоящей файловой системой. Посмотрите на себя с помощью root explorer - он полон 0-байтовых файлов, созданных во время выполнения, и предназначен для приложений и программного обеспечения для взаимодействия с работающим ядром. Там не хранятся настоящие конфиденциальные данные, и все они стираются и перезаписываются, когда телефон выключается. Если вы беспокоитесь о том, что кто-то может найти вашу версию ядра или 16-значный идентификатор Android, у вас все еще есть препятствие для отправки этой информации куда-либо без явных разрешений в Интернете.
Мы рады, что люди углубляются в поиски подобных проблем, и хотя они не являются критически важными для любого серьезного определения, хорошо бы, чтобы Google знал о них. Исследователи, выполняющие такую работу, могут только сделать вещи безопаснее и лучше для всех нас. И мы должны подчеркнуть, что ребята из Левиафана не говорят о гибели и мраке, они просто представляют факты в полезной форме - гибель и мрак исходят из внешних источников.
Источник: Leviathan Security Group
