Η πρώτη γραμμή άμυνας στην ασφάλεια των υπολογιστών είναι ο χρήστης, ή τουλάχιστον έτσι συμβαίνει στο Android. Όποτε εγκαθίσταται μία εφαρμογή από το Android Market ή μέσω κάρτας SD ή μέσω μεταφόρτωσης (download), εμφανίζεται στον χρήστη μία ανάλυση δικαιωμάτων πρόσβασης όπου φαίνεται σε τι ακριβώς μέρος του λογισμικού αλλά και του hardware έχει πρόσβαση η συγκεκριμένη εφαρμογή. Οι πιο υποψιασμένοι χρήστες συχνά αποφεύγουν εφαρμογές που επιθυμούν να έχουν μεγαλύτερη πρόσβαση απ' όση χρειάζεται και οι πιο καλοί developers συνήθως δημοσιεύουν τους λόγους για τους οποίους ζητούν πρόσβαση στο Android Market. Αλλά φαίνεται ότι υπάρχει ένα σημαντικό κενό ασφαλείας στο σύστημα δικαιωμάτων πρόσβασης του λειτουργικού συστήματος Android. Ο Διευθυντής Έρευνας και Ανάπτυξης της εταιρείας ViaForensics απέδειξε ότι το σύστημα μπορεί να παρακαμφθεί με την εγκατάσταση μίας εφαρμογής χωρίς κανένα δικαίωμα πρόσβασης, η οποία παρ'όλα αυτά, μπορεί να ελέγξει πλήρως το κέλυφος του λειτουργικού συστήματος Android.
Ο Thomas Cannon κατέστησε γνωστό το πρόβλημα ασφαλείας μέσω ενός video, στο οποίο χρησιμοποιεί ένα προσομοιωτή του Gingerbread SDK. Η εφαρμογή που δημιούργησε, εγκαθίσταται χωρίς κανένα δικαίωμα πρόσβασης - ισάξια ενός wallpaper σύμφωνα με το σύστημα δικαιωμάτων πρόσβασης του Android. Η εφαρμογή επιτρέπει τον έλεγχο του κέλυφους του Android μέσω μίας απομακρυσμένης σύνδεσης. Η εφαρμογή εμφανίζεται ως "παιχνίδι" και δεν ζητά δικαίωμα πρόσβασης. Ο Cannon λέει ότι το πρόβλημα ασφαλείας δεν είναι νέο και είναι γνωστό στους ερευνητές ασφαλείας εδώ και λίγο καιρό ενώ σημειώνει ότι έχει διαπιστώσει την ύπαρξή του από την έκδοση 1.5 του λειτουργικού μέχρι και το πρόσφατο Ice Cream Sandwich. Η εφαρμογή αποκτά δικαίωματα πρόσβασης μέσω του web browser του Android ενώ ο ερευνητής βρήκε και άλλα ζητήματα ασφαλείας όπως αρχεία της εφαρμογής e-mail τα οποία αποθηκεύονταν σε μη κρυπτογραφημένη μορφή στην κάρτα μνήμης SD...
Η εταιρεία ViaForensics πρόσφατα αποκάλυψε προβλήματα ασφαλείας στο σύστημα πληρωμών Google Wallet το οποίο λειτουργεί με την τεχνολογία NFC. Ο Cannon είναι ερευνητής, όχι hacker. H εφαρμογή που χρησιμοποιεί είναι μία δοκιμαστική εφαρμογή φτιαγμένη ειδικά για την απόδειξη του προβλήματος ασφαλείας. Ακόμη όμως κι έτσι, η επίδειξη είναι ανησυχητική - εάν κάποιος προχωρημένος developer τα κατάφερε, κάποιος λιγότερο προχωρημένος θα το αντιληφθεί επίσης. Ο Cannon δεν εξήγησε επακριβώς το σύστημα με το οποίο αποκτά πρόσβαση μέσω του web browser αλλά προφανώς οι μηχανικοί της Google θα μπορέσουν να βρουν το πρόβλημα και να το διορθώσουν. Ως συνήθως, να ελέγχετε τα δικαιώματα πρόσβασης κάθε εφαρμογής και να εγκαθιστάτε εφαρμογές μόνο από πηγές που εμπιστεύεστε.
Video: Video επίδειξης του προβλήματος ασφαλείας
Πηγή: Researcher demonstrates an app taking over Android with zero permissions
Site: viaForensics claims Google Wallet has security issues
ΣΧΟΛΙΑ (48)
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώραΔημοσίευση ως Επισκέπτης
· Αποσύνδεση