Logo ja.androidermagazine.com
Logo ja.androidermagazine.com
» ニュース
ニュース

今週のセキュリティの恐怖:権限のないアプリは何ができますか?

今週のセキュリティの恐怖:権限のないアプリは何ができますか?
Anonim

Androidのセキュリティに関する終わりのないストーリーの最新情報が公開されていますが、今回は、アプリがアクセス許可を宣言していない場合にアクセスできるものについて説明しています。 (別の言い方をすれば、すべてのアプリケーションが通常の機能アプリのリクエストを要求しない場合にすべてのアプリケーションが見ることができるものです。)心配する必要がないと判断する人もいれば、世界の最も人気のある携帯電話のOSですが、何が起こっているのかを説明することが最善の方法だと考えています。

セキュリティ研究者のグループは、実行中のAndroidシステムからどのような情報を取得できるかを正確に確認する許可を宣言しないアプリの作成に着手しました。 この種のことは毎日行われ、ターゲットの人気が高いほど、より多くの人々がそれを見ています。 私たちは実際に彼らにこの種のことをして もらいたい し、時々、人々は重要で修正が必要なものを見つけます。 誰もが恩恵を受けます。

今回、彼らは、アクセス許可のない(none、nada、zilchなど)アプリが3つの非常に興味深いことを実行できることを発見しました。 深刻なものはありませんが、すべてを少し見る価値があります。 SDカードから始めます。

どのアプリでもSDカードのデータを 読み取る ことができ ます 。 それは常にこのようであり、常にこのようになります。 (許可が必要なのはSDカードへの書き込みです。)ユーティリティは、安全な隠しフォルダーを作成し、他のアプリから保護するために使用できますが、デフォルトでは、SDカードに書き込まれたデータはすべてのアプリで見ることができます。 これは、コンピューターが共有可能なパーティション(SDカードなど)のすべてのデータにアクセスできるようにするために設計されたものです。Androidの新しいバージョンでは、異なるパーティション方法と移動するデータを異なる方法で共有しますこれからですが、その後、MTPの使用について、私たち全員がめちゃくちゃになります。 (あなたがPhilでない限り、彼はMTPが好きです。)これは簡単な修正です。SDカードに機密データを入れないでください。 SDカードに機密データを保存するアプリを使用しないでください。 次に、プログラムが表示できるはずのデータを表示できるかどうかを心配するのをやめます。

あなたがオタクなら、彼らが次に見つけたものは本当に興味深いです-明示的な許可なしに/data/system/packages.listファイルを読むことができます。 これ自体には脅威はありませんが、ユーザーがどのアプリケーションをインストールしたかを知ることは、どのエクスプロイトが携帯電話やタブレットを侵害するのに役立つ可能性があるかを知る素晴らしい方法です。 他のアプリの脆弱性を考えてみてください-研究者が使用した例はSkypeでした。 エクスプロイトが存在することがわかっているということは、攻撃者がそれを標的にしようとする可能性があるということです。 ただし、既知の安全でないアプリをターゲットにするには、そのための許可が必要になる可能性があることに注意してください。 (また、Skypeがすぐにその許可の問題を認識し、修正したことを人々に思い出させる価値があります。)

最後に、彼らは、/ procディレクトリが照会されると少しのデータを提供することを発見しました。 彼らの例は、Android ID、カーネルバージョン、ROMバージョンなどを読み取ることができることを示しています。 / procディレクトリには他にも多くのものがありますが、/ procは実際のファイルシステムではないことを覚えておく必要があります。 ルートエクスプローラーであなたのものを見てください-それは実行時に作成される0バイトのファイルでいっぱいであり、実行中のカーネルと通信するアプリやソフトウェア用に設計されています。 そこには実際の機密データは保存されておらず、電話の電源を入れ直すとすべて消去され、書き換えられます。 誰かがあなたのカーネルバージョンまたは16桁のAndroid IDを見つけることができるのではないかと心配している場合でも、明示的なインターネットアクセス許可なしにその情報をどこにでも送信するというハードルがあります。

この種の問題を見つけるために人々が深く掘り下げていることを嬉しく思います。これらは深刻な定義では重要ではありませんが、Googleにそれらを認識させるのは良いことです。 この種の研究を行っている研究者は、私たち全員にとって物事をより安全で良いものにすることができるだけです。 そして、私たちはリヴァイアサンの仲間が運命と暗闇を語っていないという点を強調する必要があります。彼らはただ有用な方法で事実を提示しているだけです。

出典:リヴァイアサンセキュリティグループ

ニュース

エディタの選択