Menu

Aplikace bez jakýchkoli oprávnění mohou sbírat a odesílat data

Pojem “oprávnění” může být v případě operačního systému Android poněkud relativní. Podle výzkumu společnosti Leviathan Security totiž může aplikace bez jakýchkoli oprávnění přistupovat k datům uživatele i ostatních aplikací.

Informaci zveřejnil v pondělí na firemním blogu výzkumník Paul Brodeur, který prokázal, že aplikace bez oprávnění mohou volně přistupovat k souborům, používaným jinými programy, včetně seznamu nainstalovaných aplikací a seznamu všech čitelných souborů používaných těmito aplikacemi. Tato schopnost by mohla být použita k identifikaci aplikací obsahujících bezpečnostní nedostatky, a jejich následnému zneužití, varuje Brodeur.

Brodeur představil “proof of concept” aplikace pro Android, pojmenovaný “NoPermissions”, který pracuje s mobilními telefony se systémem Android verze 4.0.3 a 2.3.5.

Jeho práce vychází z výsledků výzkumů dalších bezpečnostních expertů, kteří odhalili mezery Androidu ve způsobu práce s oprávněními. Brodeurova aplikace tak například byla schopna sbírat informace o zařízení, jako jsou verze jádra a ROM, stejně jako unikátní Android ID. Program NoPermissions může také přistupovat k neskrytým souborům uloženým na SD kartě telefonu. Tak to sice Google zamýšlel, ale Brodeur poukazuje na skutečnost, že aplikace využívají místní úložiště způsoby, které jsou nepředvídatelné. Mezi údaji, jež našel ve svém vlastním telefonu, byly například certifikáty aplikace Open VPN.

Nedostatku v systému oprávnění by mohl útočník využít nejen ke sběru údajů, ale také k následnému exportu z telefonu. Požadavky typu URI ACTION-VIEW jsou totiž podporovány bez nutnosti schvalování. Tato funkce otevře (třebas i na pozadí) prohlížeč, útočník by pak mohl předávat data do prohlížeče ve formě URI s parametrem GET, a odeslat je na vzdálený server.

Není to první informace o problému kolem systému oprávnění na Androidu. Vědci z North Carolina State University reportovali podobné nedostatky již v roce 2010. V prosinci 2011 pak Thomas Cannon z bezpečnostní firmy viaForensics prokázal, že aplikace bez oprávnění může poskytnout útočníkovi přístup k “příkazovému řádku” na telefonu a umožní mu spouštět na zařízení vzdáleně příkazy.

Aplikaci NoPermissions můžete stáhnout z následujících odkazů:

Zdroj: Threat Post.

Komentáře

Cole

Cole

11.4.2012 14:19

v článku je zmiňován Android pouze do verze 4.0.3 – znamená to, že v Android 4.0.4 má tuto bezpečností chybu už opravenou?

Cezz

Cezz

11.4.2012 14:24

Odporucam precitat si odkazovany clanok a hlavne nasledne prvy komentar, ktory je podla mna uzitocejsi ako cely clanok. Pre tych, ktorym sa nechce v skratke:
– SD karta nikdy nebola zamyslana ako bezpecne ulozisko dat. FAT32 filesystem, ktory je na kartach pouzivany proste nic take neumoznuje.
– na certifikaty je v Androide bezpecne ulozisko, ak ich autor nasiel na SD je to bud problem aplikacie, alebo pouzivatela, ze take subory na SD kartu uklada
– zoznam aplikacii, ktore autor ziskal citanim zo suboru je normalne dostupny bez nejakych hackov aj neprivilegovanym aplikaciam s pouzitim androidich kniznic
– URI ACTION-VIEW ako jediny stoji za zmienku a naozaj ciastocne obchadza opravnenia (naozaj sa da otvorit tymto sposobom browser na pozadi, aby to pouzivatel nevidel?)

Kazdopadne vseobecne: Nepouzivat nezname aplikacie – uz vobec nie nezname aplikacie z neznamych zdrojov. Davat si pozor, co ukladam na SD kartu. To platilo odjakziva, plati to aj teraz.

Karelk

Karel Kiliánexternista -1

11.4.2012 14:26

To: Cezz
Děkuji za upřesnění :)

Bobo

Bobo

11.4.2012 14:32

Cezz: Naprostý souhlas, taky mi přijde, že to ve skutečnosti nic “neprolomilo”.

Lukáš

Lukáš

11.4.2012 15:01

Mě jako laika udivuje, že si někdo v klidu na dálku otevře prohlížeč na pozadí a pracuje si s ním, zatímco já jako uživatel takovou možnost nemám :)

v6ak

v6ak

11.4.2012 15:08

K URL action view: Stačí mít alespoň dva prohlížeče a nemít zvolen výchozí.

JirkaH

JirkaH

11.4.2012 15:38

zase kachna

serfik

serfik

11.4.2012 16:15

Absolutní blbost! Hlavně si nenechte takový nesmysly natlačit do hlavy, to psal úplnej debil!!!

Karelk

Karel Kiliánexternista -1

11.4.2012 16:29

To: JirkaH a serfik
Promiňte, ale nejsou snad na konci článku uvedeny zdroje?
Nějaké argumenty, fakta, relevantní údaje byste neměli?

Tomáš Procházka

Tomáš Procházka

12.4.2012 18:05

To bych fakt chtěl vidět,jak přes Intent otevře prohlížeč na pozadí.

Cezz

Cezz

14.4.2012 17:00

Tomáš Procházka: Chvilu som nad tym uvazoval a jedine co mi napadlo je, ze pod “na pozadi” sa moze mysliet napriklad ze otvoris tu stranku v momente, ked sa mobil nepouziva (ma zhasnuty display)

V tomto pripade teda asi skor niekolko stranok, aby si cez GET pretlacil potrebne data.

sita

sita

18.4.2012 11:05

Panove, ja tedy, jako naprosty laik a zacatecnik, co se aplikaci do androidu tyka, nechapu za jak po me vubec muze uplne obycejna neskodna aplikace, jako treba vyskomer, chtit povoleni k vecem, jako je pristup ke vsem mym datum,kontaktum, atd.,atd. a jeste k tomu s nimi v nejhorsim pripade manipulovat????(bez prijmuti opravneni se nedaji aplikace stahovat, nebo jsem na to jeste neprisel,tak poradte prosim

stejne tak nechapu ruzne aplikace gps,ktere uchovavaji historii polohy aniz nejsou spustene apodobne..to je jako fbi??nebo google v roli “big brother”?asi stejne jako faceboook a shromazdovani informaci o vsech zucastnenych i nezucastnenych osobach?

co to proboha je??

jo a jeste jak podle vas mam teda poznat neduveryhodny zdroj?

Dik predem za rady

Karelk

Karel Kiliánexternista -1

19.4.2012 11:23

To: sita
To je právě nutné si hlídat a trochu přemýšlet nad tím, proč aplikace, která má dělat jednu věc – třeba měřit výšku, jak říkáte – chce přístup k osobním datům.
Slušní autoři obvykle vysvětlují v Google Play, pokud má jejich aplikace nestandardní požadavky, k čemu je používá.

Máte pravdu v tom, že bez schválení VŠECH oprávnění aplikaci nenainstalujete. Dá se to ale řešit – ovšem zatím jen na rootnutých telefonech. Podívejte se ve článku Nejlepší aplikace pro rootnuté telefony – 4. díl (https://www.svetandroida.cz/nejlepsi-aplikace-pro-rootnute-telefony-4-dil-201204) na LBE Privacy Guard. To je přesně to, co Androidu chybí: “LBE běží na pozadí a sleduje ostatní aplikace, jak žádají o nejrůznější oprávnění. V případě, že nějaký program chce například otevřít seznam kontaktů, nebo číst SMS, zobrazí se dialogové okno, kde můžete požadavek schválit, nebo zamítnout.”

Osobně si myslím, že dříve či později se taková funkce objeví přímo v systému Android. Kdy to ale bude, ví Bůh – zatím to není ani ve stádiu spekulací.

Osobně instaluji pouze aplikace, které:
1.) mají více než 100 000 stažení,
2.) mají hodnocení 4,0 a vyšší,
3.) mají nějaké reakce od uživatelů,
4.) většinou si hlídám i to, aby autor měl v Google Play více než jednu aplikaci,
5.) čtu žádosti o práva.
I tak se mi ale stalo, že jsem si nainstaloval aplikaci s agresivní reklamou v notifikační liště. Ovšem na nějaký škodlivý kód jsem zatím nenarazil :)

Petr

Petr

14.7.2014 10:53

Dobrý deň pín Kilián,

K Vážmu prispevku zo dňa 19.4.2012 k članku “Aplikace bez jakýchkoli oprávnění mohou sbírat a odesílat data” zo dňa 11.4.2012.

Pokiaľ stě odborník, je Váš prispevok totálnym prepadákom. Pokiaľ stě amatér, O.K. Vy inštalujetě android aplikácie podľa bodou 1.-3.? Mnoho šťastia!!! Isto stě amatér!!!
Takmer všeci uživatelia sú, podľa ich recenzií k apliáciam, hlupákmi. Prečo? Pretože propagujů, a dávajů kladné hodnotenia, aplikáciam, ktore sú malwarom, adwarom atď. Vätšina aplikácií žiadajů čokoľvek, iba nie to, čo vo skutočnosti potrebujú a čo majů robiť.
Jedinné, čo zostáva, je čítať a analyzovať požadované, viacej než často,stupidné oprávněnia, a hlavně, používať mozok a na všetko neklikať.
Odporúčam Vám sa zamyslieť sa!!!!!!

RSS (komentáře k článku)