Aplikace bez jakýchkoli oprávnění mohou sbírat a odesílat data

Překvapení: Kupte si Huawei P30 / P30 Pro a získejte chytré hodinky Huawei Watch GT

Pojem „oprávnění“ může být v případě operačního systému Android poněkud relativní. Podle výzkumu společnosti Leviathan Security totiž může aplikace bez jakýchkoli oprávnění přistupovat k datům uživatele i ostatních aplikací.

DÁREK ZA 5 999 Kč: Kupte si Huawei P30 / P30 Pro a získejte chytré hodinky Huawei Watch GT

reklama

Informaci zveřejnil v pondělí na firemním blogu výzkumník Paul Brodeur, který prokázal, že aplikace bez oprávnění mohou volně přistupovat k souborům, používaným jinými programy, včetně seznamu nainstalovaných aplikací a seznamu všech čitelných souborů používaných těmito aplikacemi. Tato schopnost by mohla být použita k identifikaci aplikací obsahujících bezpečnostní nedostatky, a jejich následnému zneužití, varuje Brodeur.

Brodeur představil „proof of concept“ aplikace pro Android, pojmenovaný „NoPermissions“, který pracuje s mobilními telefony se systémem Android verze 4.0.3 a 2.3.5.

Jeho práce vychází z výsledků výzkumů dalších bezpečnostních expertů, kteří odhalili mezery Androidu ve způsobu práce s oprávněními. Brodeurova aplikace tak například byla schopna sbírat informace o zařízení, jako jsou verze jádra a ROM, stejně jako unikátní Android ID. Program NoPermissions může také přistupovat k neskrytým souborům uloženým na SD kartě telefonu. Tak to sice Google zamýšlel, ale Brodeur poukazuje na skutečnost, že aplikace využívají místní úložiště způsoby, které jsou nepředvídatelné. Mezi údaji, jež našel ve svém vlastním telefonu, byly například certifikáty aplikace Open VPN.

Nedostatku v systému oprávnění by mohl útočník využít nejen ke sběru údajů, ale také k následnému exportu z telefonu. Požadavky typu URI ACTION-VIEW jsou totiž podporovány bez nutnosti schvalování. Tato funkce otevře (třebas i na pozadí) prohlížeč, útočník by pak mohl předávat data do prohlížeče ve formě URI s parametrem GET, a odeslat je na vzdálený server.

Obnovení továrního nastavení nemaže všechna data. Víme, jak to vyřešit!

Zprávičky

Karel Kilián

Není to první informace o problému kolem systému oprávnění na Androidu. Vědci z North Carolina State University reportovali podobné nedostatky již v roce 2010. V prosinci 2011 pak Thomas Cannon z bezpečnostní firmy viaForensics prokázal, že aplikace bez oprávnění může poskytnout útočníkovi přístup k „příkazovému řádku“ na telefonu a umožní mu spouštět na zařízení vzdáleně příkazy.

Aplikaci NoPermissions můžete stáhnout z následujících odkazů:

Zdroj: Threat Post.

Zaujalo vás toto téma? Sdílete ho dál!>>> Sdílet na Facebooku Sdílet na Twitteru Sdílet přes Gmail

Komentáře:

Další zajímavá témata:

bezpečnost bezpečnostní nedostatek oprávnění security

O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi