Das Neueste in der unendlichen Geschichte der Android-Sicherheit ist erschienen. Dieses Mal geht es darum, auf was eine App zugreifen kann, wenn sie keine Berechtigungen deklariert. (Anders ausgedrückt, was jede Anwendung sehen kann, wenn sie keine der normalen Funktions-Apps anfordert.) Einige machen sich keine Sorgen, andere versuchen, die Welt zu verdammen Das beliebteste Betriebssystem für Mobiltelefone, aber das Beste, was wir damit anfangen können, ist zu erklären, was gerade passiert.
Eine Gruppe von Sicherheitsforschern machte sich daran, eine App zu erstellen, die keine Berechtigung zum Herausfinden genau der Art von Informationen hat, die sie von dem Android-System erhalten können, auf dem sie ausgeführt werden. So etwas wird jeden Tag gemacht und je beliebter das Ziel ist, desto mehr Leute schauen es sich an. Wir möchten, dass sie so etwas tun, und von Zeit zu Zeit finden die Leute Dinge, die kritisch sind und behoben werden müssen. Jeder profitiert.
Dieses Mal stellten sie fest, dass eine App ohne (wie in none, nada, zilch) Berechtigungen drei sehr interessante Dinge tun kann. Keiner ist seriös, aber alle sind es wert, ein bisschen angeschaut zu werden. Wir werden mit der SD-Karte beginnen.
Jede App kann Daten auf Ihrer SD-Karte lesen. Es war schon immer so und wird auch immer so sein. (Das Schreiben auf die SD-Karte erfordert eine Berechtigung.) Es gibt Dienstprogramme, mit denen Sie sichere, versteckte Ordner erstellen und vor anderen Apps schützen können. Standardmäßig können jedoch alle auf die SD-Karte geschriebenen Daten von jeder App angezeigt werden. Dies ist beabsichtigt, da wir unserem Computer den Zugriff auf alle Daten auf gemeinsam genutzten Partitionen (wie z. B. SD-Karten) ermöglichen möchten, wenn wir sie einstecken. Neuere Versionen von Android verwenden eine andere Partitionsmethode und eine andere Methode zum Freigeben von Daten, die entfernt werden von diesem, aber dann bekommen wir alle Hündin über die Verwendung von MTP. (Es sei denn, Sie sind Phil, aber er ist ein bisschen verrückt nach MTP.) Dies ist eine einfache Lösung - speichern Sie keine vertraulichen Daten auf Ihrer SD-Karte. Verwenden Sie keine Apps, die sensible Daten auf Ihre SD-Karte speichern. Machen Sie sich dann keine Sorgen mehr, dass Programme Daten sehen könnten, die sie eigentlich sehen sollten.
Das nächste, was sie gefunden haben, ist wirklich interessant, wenn Sie ein Geek sind. Sie können die Datei /data/system/packages.list ohne ausdrückliche Erlaubnis lesen. Dies stellt für sich genommen keine Bedrohung dar. Wenn Sie jedoch wissen, welche Anwendungen ein Benutzer installiert hat, können Sie feststellen, welche Exploits nützlich sein können, um das Telefon oder Tablet zu gefährden. Denken Sie an Schwachstellen in anderen Apps - das Beispiel, das die Forscher verwendeten, war Skype. Wenn ein Angreifer weiß, dass ein Exploit vorhanden ist, könnte er versuchen, ihn anzugreifen. Erwähnenswert ist jedoch, dass für das Targeting einer bekannten unsicheren App möglicherweise einige Berechtigungen erforderlich sind. (Und es lohnt sich auch daran zu erinnern, dass Skype das Problem mit den Berechtigungen schnell erkannt und behoben hat.)
Schließlich stellten sie fest, dass das Verzeichnis / proc bei der Abfrage einige Daten enthält. Ihr Beispiel zeigt, dass sie Dinge wie die Android-ID, die Kernel-Version und die ROM-Version lesen können. Es gibt noch viel mehr im Verzeichnis / proc, aber wir müssen bedenken, dass / proc kein echtes Dateisystem ist. Schauen Sie sich Ihre mit dem Root-Explorer an - er enthält 0-Byte-Dateien, die zur Laufzeit erstellt werden, und wurde für Apps und Software entwickelt, die mit dem laufenden Kernel kommunizieren. Dort sind keine wirklich vertraulichen Daten gespeichert, und alles wird gelöscht und neu geschrieben, wenn das Telefon aus- und wieder eingeschaltet wird. Wenn Sie befürchten, dass jemand Ihre Kernel-Version oder 16-stellige Android-ID finden könnte, haben Sie immer noch die Hürde, diese Informationen ohne ausdrückliche Internet-Berechtigungen an einen beliebigen Ort zu senden.
Wir sind froh, dass die Leute sich intensiv mit solchen Problemen befassen. Auch wenn diese laut Definition nicht kritisch sind, ist es gut, Google darauf aufmerksam zu machen. Forscher, die diese Art von Arbeit machen, können die Dinge für uns alle nur sicherer und besser machen. Und wir müssen betonen, dass die Mitmenschen in Leviathan nicht über Untergang und Finsternis sprechen, sondern nur Fakten auf nützliche Weise präsentieren - Untergang und Finsternis kommen von außen.
Quelle: Leviathan Sicherheitsgruppe
