Den seneste i den uendelige historie om Android-sikkerhed er ude, og denne gang taler det om, hvad en app kan få adgang til, hvis den erklærer ingen tilladelser. (For at sige det på en anden måde, hvad alle applikationer kan se, om det ikke anmoder om nogen af de normale apps, der anmoder om apps.) Nogle mennesker gør det ud til at være noget at bekymre sig om, andre bruger det i deres søgen efter at fordømme verden mest populære mobiltelefon OS, men vi regner med, at det er bedst at gøre med det for at forklare, hvad der sker.
En gruppe af sikkerhedsforskere begyndte at oprette en app, der erklærer ingen tilladelser til at finde ud af, nøjagtigt hvilken slags information de kunne få ud af det Android-system, det kørte på. Denne slags ting udføres hver dag, og jo mere populært målet er, jo flere ser på det. Vi ønsker faktisk, at de skal gøre denne slags ting, og fra tid til anden finder folk ting, der er kritiske og har behov for at blive løst. Alle drager fordel.
Denne gang fandt de ud af, at en app med ingen (som i ingen, nada, zilch) tilladelser kunne gøre tre meget interessante ting. Ingen er seriøse, men alle er værd at se lidt på. Vi starter med SD-kortet.
Enhver app kan læse data på dit SD-kort. Det har altid været sådan, og det vil altid være sådan. (Det er nødvendigt at skrive til SD-kortet.) Hjælpeprogrammer er tilgængelige til at oprette sikre, skjulte mapper og beskytte dem mod andre apps, men som standard er alle data, der er skrevet til SD-kortet, der for enhver app at se. Dette er ved design, da vi vil give vores computer adgang til alle data om delbare partitioner (som SD-kort), når vi tilslutter dem. Nyere versioner af Android bruger en anden partitioneringsmetode og en anden måde at dele data, der bevæger sig væk fra dette, men så kommer vi alle sammen til at bruge om MTP. (Medmindre du er Phil, men han er lidt møtrik på at lide MTP.) Dette er en nem løsning - læg ikke følsomme data på dit SD-kort. Brug ikke apps, der lægger følsomme data på dit SD-kort. Derefter skal du stoppe med at bekymre dig om, at programmer kan se data, de formodes at være i stand til at se.
Den næste ting, de fandt, er virkelig interessant, hvis du er en nørd - en kan læse filen /data/system/packages.list uden nogen eksplicit tilladelse. Dette udgør ingen trussel på egen hånd, men at vide, hvilke applikationer en bruger har installeret, er en god måde at vide, hvilke udbytter der kan være nyttige til at kompromittere deres telefon eller tablet. Tænk på sårbarheder i andre apps - det eksempel, som forskerne brugte, var Skype. At vide, at der findes en udnyttelse, det er der, betyder, at en angriber kan prøve at målrette den. Det er værd at nævne, at målretning mod en kendt usikker app sandsynligvis kræver nogle tilladelser til at gøre det. (Og det er også værd at minde folk om, at Skype hurtigt anerkendte og fik rettet problemet med tilladelser.)
Endelig opdagede de, at / proc-biblioteket giver en smule data, når de blev spurgt. Deres eksempel viser, at de kan læse ting som Android-ID, kerneversion og ROM-version. Der er meget mere, der kan findes i / proc-biblioteket, men vi er nødt til at huske, at / proc ikke er et rigtigt filsystem. Se på din med root explorer - den er fuld af 0-byte filer, der oprettes under runtime, og er designet til apps og software til at kommunikere med den kørende kerne. Der er ingen rigtige følsomme data, der er gemt der, og det hele slettes og skrives om, når telefonen køres til strøm. Hvis du er bekymret for, at nogen muligvis kan finde din kerneversion eller 16-cifrede Android-ID, har du stadig forhindringen ved at få disse oplysninger sendt overalt uden eksplicitte internettilladelser.
Vi er glade for, at folk graver dybt ind for at finde denne slags problemer, og selvom disse ikke er kritiske af nogen seriøs definition, er det godt at gøre Google opmærksom på dem. Forskere, der laver denne slags arbejde, kan kun gøre tingene mere sikre og bedre for os alle. Og vi er nødt til at understrege det punkt, at stipendiaterne i Leviathan ikke taler undergang og dysterhed, de præsenterer bare fakta på en nyttig måde - undergangene kommer fra eksterne kilder.
Kilde: Leviathan Security Group
