Tech новости

Еще больше проблем безопасности Android, так как компьютерные ученые обнаруживают разрыв в разрешениях

Безопасность компьютеров и мобильных устройств — сложный бизнес. Есть ажиотаж, а затем есть реальные угрозы, и до сих пор большинство в мобильном было ажиотаж (но см. AVG-ворота ). Тем не менее, Android — это либо операционная система с множеством уязвимостей в безопасности, либо всем просто нравится выбирать ее. В любом случае, между Carrier IQ в начале этой недели и сейчас этой статьей из Университета штата Северная Каролина, маленькому роботу приходится нелегко.

Ученые-компьютерщики из NCSU создали приложение под названием Woodpecker, которое будет искать уязвимости приложений в модели безопасности на основе разрешений Android. Короче говоря, когда вы устанавливаете приложение в Android, оно сообщает вам, к чему у этого приложения есть доступ, например информация о пользователе, данные, геолокация, запись звука и т. Д. В основном, если вы не думаете, что приложение для обоев должно иметь доступ, например, для записи звуков. вы препятствуете установке приложения. Проблема заключается в следующем: приложения могут по незнанию предоставлять разрешения другим приложениям, позволяя, казалось бы, безобидной программе получить доступ к функциям, не согласованным пользователем.

В статье ( PDF ) исследователи рассмотрели восемь телефонов Android: HTC Legend, EVO 4G, Wildfire S; Samsung Epic 4G; Motorola Droid, Droid x и Google Nexus One и S. Анализировалось только встроенное предустановленное программное обеспечение, например, программное обеспечение OEM или поставщика, но не сторонние приложения. Короче говоря, они обнаружили, что могут устанавливать приложения, которые имели доступ к функциям более высокого уровня, которые не были специально предоставлены пользователем через так называемую «запутанную атаку против депутатов», где «когда одно приложение обманным путем заставляет другое использовать свои привилегии ненадлежащим образом». Виновник? OEM-приложения, которые невольно раскрыли свои права доступа более высокого уровня для Woodpecker — чем больше OEM-приложений, тем более уязвимыми. Это потому, что, по мнению исследователей, «… рынки приложений не сообщают о фактических разрешениях, предоставленных приложению. Вместо этого они сообщают только о разрешениях, которые приложение запрашивает или включены в файл манифеста ».

Как видно из видео выше, приложение установлено с этими функциями более высокого уровня, но во время установки не было выдано предупреждение. Вопрос в следующем: это реальная угроза или потенциал? Выглядит потенциальным только в этой точке, но опять же, кто знает. Исследователи пришли к выводу, что это «представляет собой ощутимую слабость безопасности» для Android.

«Эти просочившиеся возможности могут быть использованы для уничтожения пользовательских данных, отправки SMS-сообщений (например, на премиальные номера), записи разговоров пользователей или получения данных о географическом местоположении пользователя на затронутых телефонах — и все это без запроса какого-либо разрешения. «

Windows Phone, похоже, защищен от подобных атак, потому что теоретически приложения проверяются. Но с другой стороны, приложение AVG действительно получило от Microsoft то, что, возможно, даже приложения для Windows Phone могли иметь схожие уязвимости (так называемые «утечки возможностей»). Это приложение AVG, по словам Джастина Ангела, неправильно использовало Geo Location (GeoCoordinateWatcher) способом, не предусмотренным руководящими принципами сертификации. Но в нашу пользу работает одна вещь — «песочница» наших ОС и приложений, что означает, что нельзя касаться функций высокого уровня (если, конечно, вы не взломаете и не разблокируете взаимодействие).

Источник: NCSU ; через регистр

Похожие посты
Tech новости

Про совет: Протрите порно с вашего телефона перед заменой его

Tech новости

Охранная фирма детализирует проблемы конфиденциальности; разработчик рассказывает нам свою сторону истории

Tech новости

Проект Android UI Utilities приносит унифицированные инструменты дизайна для разработчиков

Tech новости

Google утверждает, что популярные обои-приложения считаются безопасными