Le dernier en date de l'histoire sans fin de la sécurité Android est sorti, et cette fois, il est question de ce à quoi une application peut accéder si elle ne déclare aucune autorisation. (Pour le dire autrement, ce qu'une application peut voir si elle ne demande aucune des fonctionnalités habituelles.) Certaines personnes disent ne rien avoir à s'inquiéter, d'autres l'utilisent dans leur quête pour détruire le monde. système d'exploitation de téléphonie mobile le plus populaire, mais nous pensons que la meilleure chose à faire est d'expliquer ce qui se passe.
Un groupe de chercheurs en sécurité a décidé de créer une application ne déclarant aucune autorisation permettant de déterminer exactement le type d'informations pouvant être extraites du système Android sur lequel il était exécuté. Ce genre de chose se fait tous les jours et plus la cible est populaire, plus les gens la regardent. En fait, nous voulons qu’ils fassent ce genre de choses et, de temps à autre, les gens trouvent des choses critiques et qu’elles doivent être réparées. Tout le monde en profite.
Cette fois-ci, ils ont constaté qu'une application sans (comme dans aucun, nada, zilch) pouvait faire trois choses très intéressantes. Aucun n'est sérieux, mais tous méritent d'être examinés un peu. Nous allons commencer avec la carte SD.
Toute application peut lire des données sur votre carte SD. Cela a toujours été comme ça, et ça le sera toujours. Une autorisation est nécessaire pour écrire sur la carte SD. Des utilitaires sont disponibles pour créer des dossiers cachés sécurisés et les protéger contre les autres applications. Toutefois, par défaut, les données écrites sur la carte SD sont visibles par toutes les applications. C’est ce que nous souhaitons, car nous souhaitons autoriser notre ordinateur à accéder à toutes les données sur des partitions partageables (telles que des cartes SD) lorsque nous les connectons. Les nouvelles versions d’Android utilisent une méthode de partitionnement différente et une méthode différente de partage des données qui s’éloignent. à partir de cela, mais alors nous arrivons tous à chicaner sur l'utilisation de MTP. (À moins que vous ne soyez Phil, mais qu'il soit un peu cinglé à la MTP aime.) C'est une solution facile: ne mettez pas de données sensibles sur votre carte SD. N'utilisez pas d'applications qui mettent des données sensibles sur votre carte SD. Ensuite, arrêtez de vous inquiéter des programmes qui peuvent voir les données qu’ils sont censés pouvoir voir.
La prochaine chose qu'ils trouvent est vraiment intéressante si vous êtes un geek: vous pouvez lire le fichier /data/system/packages.list sans autorisation explicite. Cela ne représente pas en soi une menace, mais connaître les applications installées par un utilisateur est un excellent moyen de savoir quels exploits peuvent être utiles pour compromettre son téléphone ou sa tablette. Pensez aux vulnérabilités d'autres applications - l'exemple utilisé par les chercheurs était Skype. Sachant qu'un exploit existe, c'est qu'un attaquant pourrait tenter de le cibler. Il vaut la peine de mentionner que cibler une application non sécurisée connue nécessiterait probablement quelques autorisations pour le faire, cependant. (Il convient également de rappeler aux personnes que Skype a rapidement reconnu et résolu le problème de ses autorisations.)
Enfin, ils ont découvert que le répertoire / proc fournit un bit de données lorsqu’il est interrogé. Leur exemple montre qu'ils peuvent lire des choses comme l'ID Android, la version du noyau et la version de la ROM. Il y en a beaucoup plus dans le répertoire / proc, mais nous devons nous rappeler que / proc n'est pas un vrai système de fichiers. Regardez le vôtre avec root explorer - il contient de nombreux fichiers de 0 octets créés au moment de l'exécution et est conçu pour que les applications et les logiciels puissent communiquer avec le noyau en cours d'exécution. Il n'y a pas de données sensibles réelles stockées à cet endroit, elles sont toutes effacées et réécrites lorsque le téléphone est mis sous tension. Si vous craignez que quelqu'un ne puisse trouver la version de votre noyau ou votre identifiant Android à 16 chiffres, vous avez toujours le mal à faire en sorte que ces informations soient envoyées n'importe où sans autorisations Internet explicites.
Nous sommes heureux que les gens s'emploient à trouver ce genre de problème. Bien que ces définitions ne soient pas critiques, il est bon que Google en prenne conscience. Les chercheurs effectuant ce type de travail ne peuvent que rendre les choses plus sûres et meilleures pour nous tous. Et nous devons souligner le fait que les boursiers de Leviathan ne parlent pas de tristesse, ils ne font que présenter les faits de manière utile - la tristesse provient de sources extérieures.
Source: Groupe de sécurité Leviathan
