Acailse

Bei Android-Apps bedeutet "Nullberechtigungen" eigentlich keine Nullberechtigungen

Androids Sicherheitsprobleme und Sicherheitslücken sind seit einiger Zeit Gegenstand hitziger Debatten in der Technologiewelt. Viele Entwickler und Forscher behaupten, dass der frühere Android Market, heute bekannt als Google Play, die Quelle zahlreicher bösartiger Apps ist.

Und während ich nicht vorhabe, alle Probleme rund um die Sicherheitsschwächen von Android gründlich zu analysieren und zu diskutieren (wir haben so etwas schon einmal auf der Website gemacht), möchte ich Sie auf einen Bericht von Paul Brodeur aufmerksam machen Leviathan Sicherheit.

Brodeur hat eine so genannte "Zero-Permission" -Android-App entwickelt, um herauszufinden, welche Daten für ein "Harvesting" von einem Android-Gerät mit Anwendungen, die überhaupt keine Berechtigungen haben, zur Verfügung stehen. Die Ergebnisse der Untersuchung sind leider nicht sehr ermutigend, da sie erneut die tiefgreifenden Schwächen des Ökosystems belegen.

Die App erhielt Zugriff auf die SD-Karte sowie auf verschiedene Systeminformationen und eindeutige Handy-Identifikationsdaten, auch wenn sie aus Android-Gründen keine Erlaubnis erhalten sollte.

Was noch beunruhigender ist, ist, dass Brodeurs Tests sowohl auf einer älteren Version von Android (2.3.5 Gingerbread) durchgeführt wurden, von der wir wussten, dass sie Sicherheitsprobleme hatte, als auch auf Ice Cream Sandwich Version 4.0.3, die ich für einen, dachte es war sicherer.

Auf welche Art von Daten kann ohne Erlaubnis zugegriffen werden?

Der erste privilegierte Zugriffsbereich für Brodeurs Anwendung war die SD-Karte, auf der jede nicht versteckte Datei von der App geöffnet werden konnte. Dies ist nicht gerade eine Android-Sicherheitslücke, da die OS-Entwicklerdokumente eindeutig angeben, dass keine Sicherheit für Dateien besteht, die auf externem Speicher gespeichert sind, aber immer noch etwas ist, das Benutzer stören könnte. Ich meine, ich habe eine SD-Karte auf all meinen neuesten Handys installiert und ich habe derzeit viele Daten auf der Karte, einschließlich Fotos, Backups und allerlei anderer sensibler Daten.

Der zweite gefährdete Bereich ist dem Bericht zufolge noch problematischer, da die App "Zero-Permission" leicht feststellen konnte, welche Apps zu Testzwecken auf dem Gerät installiert waren. Die Informationen wurden durch Zugriff auf die Datei /data/system/packages.list gesammelt und könnten von Malware zum Auffinden von Anwendungen mit Schwachstellenschwachstellen verwendet werden.

Schließlich scheint es, dass jede App auf Schlüsselinformationen über das Gerät selbst zugreifen kann, einschließlich der GSM- und SIM-Hersteller-IDs. Die / proc / version pseudofile enthüllte auch die Kernel-Version und kann den Namen eines installierten benutzerdefinierten ROMs anzeigen, falls vorhanden. Nicht nur das, sondern der Entwickler merkt an, dass die illegal gesammelten Daten überallhin gesendet werden können, auch wenn die App keine Internet-Berechtigungen hat, mit Hilfe der so genannten URI ACTION_VIEW Intent.

Es versteht sich von selbst, dass diese Informationen ohne die Erlaubnis der Benutzer nicht zugänglich sein sollten und Schaden anrichten könnten, wenn sie in die falschen Hände geraten. Nachdem dies gesagt wurde, beendet Brodeur seinen Bericht mit der Betonung, was jeder Android-Benutzer als erste Regel der Verwendung eines Google-basierten Handhelds ansehen sollte. Installieren Sie keine verdächtigen Apps, da diese ohne Ihre Erlaubnis auf sensible Daten zugreifen können und potenziell dazu in der Lage sind, Ihnen und Ihrem Gerät ernsthaften Schaden zuzufügen!