Hiç bitmeyen bir Android güvenliği öyküsünün sonuncusu çıktı ve bu kez bir uygulamanın izinsiz olduğunu beyan etmesi durumunda neye erişebileceğinden bahsediyor. (Başka bir deyişle, bir uygulamanın normal işlevsellik uygulamalarının istediği herhangi bir isteğinde bulunmaması durumunda ne görebileceğini görmek.) Bazı insanlar endişelenecek bir şey olmadığını söyler, diğerleri ise dünyayı lanetlemek için kullanırlar. en popüler cep telefonu işletim sistemi, ancak bununla yapılacak en iyi şeyin ne olduğunu açıklıyoruz.
Bir grup güvenlik araştırmacısı, üzerinde çalıştığı Android sisteminden ne tür bilgilerden tam olarak yararlanabileceklerini bulmalarına izin vermediğini açıklayan bir uygulama oluşturmak için yola çıktı. Bu tür şeyler her gün yapılır ve hedef ne kadar popülerse, o kadar çok insan bakar. Aslında bu tür bir şeyi yapmalarını istiyoruz ve zaman zaman millet kritik ve sabit olan şeyleri buluyorlar. Herkes yararına.
Bu sefer etrafta, (hiçbiri, nada, zilch) izni olmayan bir uygulamanın çok ilginç üç şey yapabileceğini buldular. Hiçbiri ciddi değil, ama hepsine biraz bakmaya değer. SD kart ile başlayacağız.
Herhangi bir uygulama SD kartınızdaki verileri okuyabilir. Her zaman böyle olmuştur ve her zaman bu şekilde olacaktır. (SD karta yazmak, izne ihtiyacı olan şeydir.) Güvenli, gizli klasörler oluşturmak ve bunları diğer uygulamalardan korumak için yardımcı programlar bulunur, ancak varsayılan olarak SD karta yazılan veriler herhangi bir uygulamanın görmesi için vardır. Bu, tasarım gereği, bilgisayarlarımızı taktığımız zaman paylaşılabilir bölümlerdeki (SD kartlar gibi) tüm verilere erişmesine izin vermek istediğimizdendir. Android'in yeni sürümleri, farklı bir bölümleme yöntemi ve uzaklaşan verileri paylaşmanın farklı bir yolunu kullanır Bundan, ancak sonra hepimiz MTP kullanma konusunda kaltak oluruz. (Phil olmadığın sürece, ama MTP'den hoşlanıyor.) Bu kolay bir düzeltme - SD kartınıza hassas veriler koymayın. SD kartınıza hassas veriler yerleştiren uygulamalar kullanmayın. Sonra, görmeleri gereken verileri görebilecek programlar hakkında endişelenmeyi bırakın.
Eğer bir inek iseniz buldukları bir sonraki şey gerçekten ilginçtir - ve /data/system/packages.list dosyasını açıkça izniniz olmadan okuyabilir. Bu, kendi başına bir tehdit oluşturmaz, ancak bir kullanıcının hangi uygulamaları yüklediğini bilmek, hangi istismarların telefonlarını veya tabletlerini tehlikeye atmak için yararlı olabileceğini bilmek için harika bir yoldur. Diğer uygulamalardaki güvenlik açıklarını düşünün - kullanılan araştırmacılar Skype örneğiydi. Bir istismarın var olduğunu bilmek, bir saldırganın onu hedeflemeye çalışabileceği anlamına gelir. Bilinen güvensiz bir uygulamayı hedeflemenin, bunun için muhtemelen bazı izinler gerektireceğini belirtmekte fayda var. (Ayrıca Skype’a izin sorununu hızla kabul edip düzelttiklerini hatırlatmakta fayda var.)
Son olarak, / proc dizininin sorgulandığında bir miktar veri verdiğini keşfettiler. Örnekleri, Android ID, çekirdek sürümü ve ROM sürümü gibi şeyleri okuyabildiklerini gösteriyor. / Proc dizininde bulunabilecek daha çok şey var, ancak / proc'un gerçek bir dosya sistemi olmadığını hatırlamamız gerekiyor. Kök gezgini ile kendinize bakın - çalışma zamanında oluşturulan 0 baytlık dosyalarla doludur ve uygulamalar ve yazılımın çalışan çekirdekle iletişim kurması için tasarlanmıştır. Orada depolanan gerçek hassas veri yoktur ve telefonun gücü açık olduğunda hepsi silinir ve yeniden yazılır. Birinin çekirdek sürümünüzü veya 16 basamaklı Android Kimliğinizi bulabileceğinden endişeleniyorsanız, bu bilgilerin açıkça Internet izinleri olmadan herhangi bir yere gönderilmesini engelleyebilirsiniz.
İnsanların bu tür sorunları bulmak için derinlemesine kazmalarına memnunuz ve bunlar ciddi bir tanımla kritik olmamakla birlikte, Google’ı onlardan haberdar etmek iyi bir şey. Bu tür işler yapan araştırmacılar, işleri yalnızca bizim için daha güvenli ve daha iyi hale getirebilir. Ve Leviathan’daki arkadaşların kıyamet ve kasvetli konuşmadığı, sadece gerçekleri faydalı bir şekilde sundukları - kıyamet ve kasvet dış kaynaklardan geliyor.
Kaynak: Leviathan Güvenlik Grubu
