È uscito l'ultimo della storia infinita della sicurezza di Android e questa volta parla di ciò a cui un'app può accedere se non dichiara autorizzazioni. (Per dirla in altro modo, cosa può vedere un'applicazione se non richiede nessuna delle normali richieste di app di funzionalità.) Alcune persone si rendono conto che non c'è nulla di cui preoccuparsi, altri lo usano nella loro ricerca per dannare il mondo il più popolare sistema operativo per telefoni cellulari, ma riteniamo che la cosa migliore da fare sia spiegare cosa sta succedendo.
Un gruppo di ricercatori sulla sicurezza ha deciso di creare un'app che non dichiari autorizzazioni per scoprire esattamente da che tipo di informazioni potrebbero trarre dal sistema Android su cui era in esecuzione. Questo genere di cose viene fatto ogni giorno e più popolare è l'obiettivo, più persone lo guardano. In realtà vogliamo che facciano questo genere di cose, e di volta in volta la gente trova cose critiche e che hanno bisogno di essere riparate. Tutti ne beneficiano.
Questa volta, hanno scoperto che un'app senza autorizzazioni (come in nessuna, nada, zilch) potrebbe fare tre cose molto interessanti. Nessuno è serio, ma vale la pena guardarlo un po '. Inizieremo con la scheda SD.
Qualsiasi app può leggere i dati sulla tua scheda SD. È sempre stato così, e sarà sempre così. (Scrivere sulla scheda SD è ciò che richiede un'autorizzazione.) Le utilità sono disponibili per creare cartelle sicure e nascoste e proteggerle da altre app, ma per impostazione predefinita tutti i dati scritti sulla scheda SD sono lì per qualsiasi app da vedere. Questo è di progettazione, poiché vogliamo consentire al nostro computer di accedere a tutti i dati su partizioni condivisibili (come le schede SD) quando li colleghiamo. Le versioni più recenti di Android utilizzano un metodo di partizionamento diverso e un modo diverso di condividere i dati che si allontanano da questo, ma poi tutti possiamo lamentarci sull'uso di MTP. (A meno che tu non sia Phil, ma è un po 'pazzo di come MTP.) Questa è una soluzione semplice: non inserire dati sensibili sulla tua scheda SD. Non utilizzare app che inseriscono dati sensibili sulla scheda SD. Quindi smetti di preoccuparti che i programmi possano vedere i dati che dovrebbero essere in grado di vedere.
La prossima cosa che hanno scoperto è davvero interessante se sei un geek: puoi leggere il file /data/system/packages.list senza autorizzazione esplicita. Ciò non rappresenta una minaccia da solo, ma sapere quali applicazioni sono state installate da un utente è un ottimo modo per sapere quali exploit possono essere utili per compromettere il proprio telefono o tablet. Pensa alle vulnerabilità di altre app: l'esempio utilizzato dai ricercatori è stato Skype. Sapere che esiste un exploit è lì significa che un attaccante potrebbe tentare di bersagliarlo. Vale la pena ricordare che il targeting di un'app non sicura nota richiederebbe probabilmente alcune autorizzazioni per farlo. (E vale anche la pena ricordare alle persone che Skype ha rapidamente riconosciuto e risolto il problema delle autorizzazioni.)
Alla fine, hanno scoperto che la directory / proc fornisce un po 'di dati quando viene interrogata. Il loro esempio mostra che possono leggere cose come l'ID Android, la versione del kernel e la versione della ROM. C'è molto di più che può essere trovato nella directory / proc, ma dobbiamo ricordare che / proc non è un vero file system. Guarda il tuo con root explorer: è pieno di file a 0 byte creati in fase di runtime ed è progettato per le app e il software per comunicare con il kernel in esecuzione. Non ci sono dati sensibili reali memorizzati lì, ed è tutto cancellato e riscritto quando il telefono viene spento e riacceso. Se sei preoccupato che qualcuno possa trovare la versione del tuo kernel o l'ID Android a 16 cifre, hai ancora il problema di ottenere che le informazioni vengano inviate ovunque senza esplicite autorizzazioni Internet.
Siamo lieti che le persone stiano scavando a fondo per trovare questo tipo di problemi, e sebbene questi non siano critici secondo una definizione seria, è bene che Google ne sia consapevole. I ricercatori che fanno questo tipo di lavoro possono solo rendere le cose più sicure e migliori per tutti noi. E dobbiamo sottolineare il fatto che i compagni del Leviatano non stanno parlando di condanna e oscurità, stanno solo presentando fatti in modo utile - la condanna e l'oscurità provengono da fonti esterne.
Fonte: Leviathan Security Group
