Aplikace bez jakýchkoli oprávnění mohou sbírat a odesílat data

android_bacha

Pojem “oprávnění” může být v případě operačního systému Android poněkud relativní. Podle výzkumu společnosti Leviathan Security totiž může aplikace bez jakýchkoli oprávnění přistupovat k datům uživatele i ostatních aplikací.

Informaci zveřejnil v pondělí na firemním blogu výzkumník Paul Brodeur, který prokázal, že aplikace bez oprávnění mohou volně přistupovat k souborům, používaným jinými programy, včetně seznamu nainstalovaných aplikací a seznamu všech čitelných souborů používaných těmito aplikacemi. Tato schopnost by mohla být použita k identifikaci aplikací obsahujících bezpečnostní nedostatky, a jejich následnému zneužití, varuje Brodeur.

Brodeur představil “proof of concept” aplikace pro Android, pojmenovaný “NoPermissions”, který pracuje s mobilními telefony se systémem Android verze 4.0.3 a 2.3.5.

Jeho práce vychází z výsledků výzkumů dalších bezpečnostních expertů, kteří odhalili mezery Androidu ve způsobu práce s oprávněními. Brodeurova aplikace tak například byla schopna sbírat informace o zařízení, jako jsou verze jádra a ROM, stejně jako unikátní Android ID. Program NoPermissions může také přistupovat k neskrytým souborům uloženým na SD kartě telefonu. Tak to sice Google zamýšlel, ale Brodeur poukazuje na skutečnost, že aplikace využívají místní úložiště způsoby, které jsou nepředvídatelné. Mezi údaji, jež našel ve svém vlastním telefonu, byly například certifikáty aplikace Open VPN.

Nedostatku v systému oprávnění by mohl útočník využít nejen ke sběru údajů, ale také k následnému exportu z telefonu. Požadavky typu URI ACTION-VIEW jsou totiž podporovány bez nutnosti schvalování. Tato funkce otevře (třebas i na pozadí) prohlížeč, útočník by pak mohl předávat data do prohlížeče ve formě URI s parametrem GET, a odeslat je na vzdálený server.

Není to první informace o problému kolem systému oprávnění na Androidu. Vědci z North Carolina State University reportovali podobné nedostatky již v roce 2010. V prosinci 2011 pak Thomas Cannon z bezpečnostní firmy viaForensics prokázal, že aplikace bez oprávnění může poskytnout útočníkovi přístup k “příkazovému řádku” na telefonu a umožní mu spouštět na zařízení vzdáleně příkazy.

Aplikaci NoPermissions můžete stáhnout z následujících odkazů:

Zdroj: Threat Post.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (14)