Het nieuwste in het eindeloze verhaal van Android-beveiliging is uit, en dit keer gaat het over wat een app kan openen als het geen rechten verklaart. (Om het anders te zeggen, wat een toepassing kan zien als het geen verzoek om een normale functionaliteit-app aanvraagt.) Sommige mensen maken er zich geen zorgen over, anderen gebruiken het in hun zoektocht om de wereld te verdoemen meest populaire besturingssysteem voor mobiele telefoons, maar we denken dat het beste is om uit te leggen wat er gebeurt.
Een groep beveiligingsonderzoekers was van plan een app te maken die geen toestemming geeft om precies te weten te komen wat voor soort informatie ze konden krijgen van het Android-systeem waarop het actief was. Dit soort dingen wordt elke dag gedaan, en hoe populairder het doelwit is, hoe meer mensen ernaar kijken. We willen eigenlijk dat ze dit soort dingen doen, en van tijd tot tijd vinden mensen dingen die kritiek zijn en moeten worden opgelost. Iedereen heeft er baat bij.
Deze keer ontdekten ze dat een app zonder (zoals in geen, nada, zilch) machtigingen drie zeer interessante dingen kon doen. Niemand is serieus, maar ze zijn allemaal de moeite van het bekijken waard. We beginnen met de SD-kaart.
Elke app kan gegevens op uw SD-kaart lezen. Het is altijd zo geweest en het zal altijd zo blijven. (Schrijven naar de SD-kaart is wat toestemming vereist.) Hulpprogramma's zijn beschikbaar om veilige, verborgen mappen te maken en deze te beschermen tegen andere apps, maar standaard zijn alle gegevens die naar de SD-kaart zijn geschreven zichtbaar voor elke app. Dit is ontworpen omdat we onze computer toegang willen geven tot alle gegevens op deelbare partities (zoals SD-kaarten) wanneer we ze aansluiten. Nieuwere versies van Android gebruiken een andere partitiemethode en een andere manier om gegevens te delen die weggaan van dit, maar dan krijgen we allemaal teef over het gebruik van MTP. (Tenzij u Phil bent, maar hij is een beetje gek op MTP.) Dit is een gemakkelijke oplossing - plaats geen gevoelige gegevens op uw SD-kaart. Gebruik geen apps die gevoelige gegevens op uw SD-kaart plaatsen. Stop dan met je zorgen te maken dat programma's gegevens kunnen zien die ze zouden moeten kunnen zien.
Het volgende dat ze vonden, is echt interessant als je een nerd bent. Je kunt het bestand /data/system/packages.list lezen zonder expliciete toestemming. Dit vormt op zichzelf geen bedreiging, maar weten welke applicaties een gebruiker heeft geïnstalleerd, is een geweldige manier om te weten welke exploits nuttig kunnen zijn om hun telefoon of tablet in gevaar te brengen. Denk aan kwetsbaarheden in andere apps - het voorbeeld dat de onderzoekers gebruikten was Skype. Wetende dat er een exploit bestaat, betekent dit dat een aanvaller kan proberen hem te richten. Het is vermeldenswaard dat het targeten van een bekende onveilige app hiervoor waarschijnlijk enige machtigingen vereist. (En het is ook de moeite waard mensen eraan te herinneren dat Skype snel het probleem met de rechten heeft erkend en opgelost.)
Ten slotte ontdekten ze dat de map / proc een beetje gegevens geeft wanneer ze werden opgevraagd. Hun voorbeeld laat zien dat ze dingen kunnen lezen zoals de Android ID, kernelversie en ROM-versie. Er is nog veel meer te vinden in de map / proc, maar we moeten niet vergeten dat / proc geen echt bestandssysteem is. Bekijk die van jou met root explorer - deze zit vol met 0-byte bestanden die tijdens runtime worden gemaakt en is ontworpen voor apps en software om te communiceren met de draaiende kernel. Er zijn geen echte gevoelige gegevens opgeslagen en deze worden allemaal gewist en herschreven wanneer de telefoon wordt ingeschakeld en weer ingeschakeld. Als je je zorgen maakt dat iemand misschien je kernelversie of 16-cijferige Android ID kan vinden, heb je nog steeds de moeite om die informatie overal naartoe te sturen zonder expliciete internetmachtigingen.
We zijn blij dat mensen diep ingaan om dit soort problemen te vinden, en hoewel deze niet kritisch zijn, is het goed om Google hiervan op de hoogte te stellen. Onderzoekers die dit soort werk doen, kunnen dingen alleen maar veiliger en beter maken voor ons allemaal. En we moeten het punt benadrukken dat de kerels bij Leviathan het niet hebben over doem en somberheid, ze presenteren alleen feiten op een nuttige manier - de doem en somberheid komt van externe bronnen.
Bron: Leviathan Security Group
