Πρόβλημα ασφαλείας στο Android επιτρέπει σε κακόβουλους τρίτους να καταγράφουν τηλεφωνήματα

[paredwse]

Επιστήμονες ανακάλυψαν μία αδυναμία σε smartphones που τρέχουν το λειτουργικό σύστημα Android της Google και η οποία επιτρέπει σε κακόβουλους τρίτους να ηχογραφούν κρυφά τηλεφωνικές κλήσεις, να καταγράφουν δεδομένα γεωγραφικής τοποθεσίας και δίνει πρόσβαση σε άλλες ευαίσθητες πληροφορίες χωρίς άδεια.

 

Συσκευές που πωλούνται από την HTC, τη Samsung, τη Motorola και την Google περιέχουν κώδικα που δίνει πρόσβαση σε σημαντικές δυνατότητες σε εφαρμογές τρίτων, όπως αναφέρουν επιστήμονες από το Πανεπιστήμιο North Carolina State. Αυτές οι διαρροές που ονομάζονται "explicit capability leaks" παρακάμπτουν δικλείδες ασφαλείας που ενυπάρχουν στο Android και οι οποίες ζητούν την άδεια του χρήστη κάθε φορά που μία εφαρμογή ζητά πρόσβαση σε προσωπικού χαρακτήρα πληροφορίες και λειτουργίες όπως το SMS. Ο κώδικας που επιτρέπει την παράκαμψη εμπεριέχεται σε εφαρμογές και λειτουργίες που προσθέτουν οι κατασκευαστές των συσκευών για να διευρύνουν τις δυνατότητες του αρχικού firmware που δίνει η Google.

 

"Πιστεύουμε ότι τα αποτελέσματα αποδεικνύουν ότι τα capability leaks συνιστούν σημαντικό πρόβλημα ασφάλειας για πολλά από τα smartphones που τρέχουν Android σήμερα" γράφουν οι ερευνητές σε επιστημονική ανακοίνωση που πρόκειται να παρουσιαστεί σε συμπόσιο για την ασφάλεια δικτυομένων συστημάτων (Network and Distributed System Security Symposium). "Ειδικότερα, smartphones με πολλές προεγκατεστημένες εφαρμογές τείνουν να έχουν περισσότερα explicit capability leaks", αναφέρουν.

 

Οι ερευνητές δημιούργησαν μία διαγνωστική εφαρμογή την οποία ονόμασαν Woodpecker, την οποία εγκατέστησαν σε οκτώ smartphones από τέσσερεις διαφορετικούς κατασκευαστές. Η πλέον ευάλωτη συσκευή είναι η EVO 4G της HTC, η οποία φέρεται να "διαρρέει" οκτώ διαφορετικά δεδομένα, συμπεριλαμβανομένης της ακριβούς γεωγραφικής θέσης, της κάμερας, του συστήματος SMS και του καταγραφικού συστήματος ήχου. Δεύτερη, η συσκευή Legend της HTC, με έξι "διαρροές", τρίτη η συσκευή Epic 4G της Samsung με τρεις "διαρροές" μεταξύ των οποίων τη δυνατότητα διαγραφής δεδομένων και εφαρμογών από τη συσκευή ενώ οι συσκευές Nexus One και Nexus S της Google βρέθηκαν να έχουν μία "διαρροή".

 

Σε αντίθεση με τα εργοστασιακά iPhone, τα οποία επιτρέπουν στον χρήστη να εγκαθιστά μόνο εφαρμογές που έχουν εγκριθεί από την Apple, το επίσημο κατάστημα Android Market δεν πραγματοποιεί ελέγχους στο λογισμικό που προσφέρει. Για αντιστάθμισμα, η Google εγκατέστησε σύστημα που δίνει στο χρήστη τη δυνατότητα να ελέγχει σε ποιές πληροφορίες έχουν πρόσβαση οι εφαρμογές που εγκαθιστά στη συσκευή του. Την πρώτη φορά που πρόκειται να "τρέξει" μία νέα εφαρμογή, ενημερώνει τον χρήστη για ποιά ευαίσθητα δεδομένα ζητά πρόσβαση και οι χρήστες που δεν επιθυμούν να δώσουν την αιτούμενη πρόσβαση έχουν τη δυνατότητα να απεγκαταστήσουν την εφαρμογή.

 

Οι ερευνητές ανακάλυψαν ότι οι προσθήκες των κατασκευαστών στο λειτουργικό δίνουν τη δυνατότητα να παρακαμφθεί η δυνατότητα ελέγχου του χρήστη στις εφαρμογές. Σε ένα video που έδωσαν στη δημοσιότητα, αποδεικνύουν πώς μία εφαρμογή που σχεδίασαν οι ίδιοι, αποκτά πρόσβαση στον καταγραφέα ήχου και στο σύστημα SMS ενός HTC EVO 4G χωρίς να λάβει τη σχετική εξουσιοδότηση από τον χρήστη, με αποτέλεσμα η εφαρμογή να έχει τη δυνατότητα να ενεργοποιήσει την καταγραφή ήχου που καταγραφεί τηλεφωνικές συνομιλίες και ήχο καθώς και να στείλει SMS χωρίς να το γνωρίζει ο χρήστης.

 

Οι ερευνητές ανέφεραν ότι τόσο η Google όσο και η Motorola επιβεβαίωσαν το πρόβλημα στις συσκευές τους αλλά ότι η HTC και η Samsung "είτε καθυστέρησαν ιδιαίτερα να απαντήσουν στις ερωτήσεις μας και στις αναφορές μας είτε μας αγνόησαν".

 

Πηγή: The Register

 

Video: Capability leak on stock Android phones

 

Download: Systematic Detection of Capability Leaks in Stock Android Smartphones (αρχείο PDF)

[xtrmsnpr]

Πόσο ακόμα;ΠΟΣΟ:;;Κάθε μήνα,βασικά κάθε βδομάδα πλέον,θα μαθαίνουμε κάτι για το λογισμικό μας..

[redcom7]

ωχ τωρα την εβαψες ερχεται ο digekas να σε κανει ρομπα..

 

:confused: :confused: :confused:

[ditsikts]

... Ο κώδικας που επιτρέπει την παράκαμψη εμπεριέχεται σε εφαρμογές και λειτουργίες που προσθέτουν οι κατασκευαστές των συσκευών για να διευρύνουν τις δυνατότητες του αρχικού firmware που δίνει η Google. ...

 

Δεν είναι πρόβλημα του λειτουργικού android.

[alex8850]

Απλά αν κάποιος ξέρει δηλαδή...Στο iphone η apple έχει ελέγχξει 600.000 εφαρμογές?

[Antonis_V]

Θα έλεγα κακιά αλα δεν πειράζει... λογικό δεν είναι; Ανοιχτό λογισμικό, αναμενόμενο ήταν...

[panagath]

Απλά αν κάποιος ξέρει δηλαδή...Στο iphone η apple έχει ελέγχξει 600.000 εφαρμογές?

 

Η apple στο ios δεν επιτρέπει σε ΚΑΜΙΑ εφαρμογή να έχει προσβαση σε πόρους και στοιχεία μνήμης έξω από την ίδια. Όλες οι εφαρμογές λειτουργούν με ότι έχουν οι ίδιες και δε μπορούν να αλληλεπιδράσουν και να ελέγχει η μία την άλλη. Γι αυτό και δεν υπάρχει εφαρμογή sms manager που να παίρνει τα sms και να τα διαχειρίζεται αυτή κτλ.

 

Τώρα αν το κάνεις jailbreak αλλάζει το θέμα.

[DrGreem]

Τι να κάνουμε τα καλύτερα πράγματα θέλουν ρίσκο, καλύτερα android και ελεύθερος παρά ios (unjailbroken) και πρόβατο!

[Lomar]

Θα έλεγα κακιά αλα δεν πειράζει... λογικό δεν είναι; Ανοιχτό λογισμικό, αναμενόμενο ήταν...

 

Το iOS, αν δεν λέει ψέματα η apple ότι είναι βασισμένος ο πυρήνας του στο Macosx, βασίζεται στο Unix (open source). Το exploit βασίζεται σε ΚΛΕΙΣΤΕΣ ΠΡΟΣΘΉΚΕΣ 3ων κατασκευαστών και όχι σε bug του ανοιχτου πυρήνα.

 

Τεκμηρίωσε την ανακριβή ημιμαθεια σου τωρα και βγαλε με λάθος.

[ditsikts]

Θα έλεγα κακιά αλα δεν πειράζει... λογικό δεν είναι; Ανοιχτό λογισμικό, αναμενόμενο ήταν...

 

Ναι μόνο που στο ανοιχτό λογισμικό είναι πιο εύκολο να δεις αν κάτι πάει στραβά. Και στο κλειστό βάζουν χέρι οι εταιρίες...

[kirileman]

Δε μας (ξανα)χαλασε. Ενα ακομα τραγουδακι παρακαλω για το ios και τα προβατα...

 

[efo355]

Μάλιστα διαβάζουμε τα σημεία και τέρατα για το android και κάποιοι το μόνο που έχετε να πείτε είναι για την apple.Πραγματικά ξεκολλήστε λίγο σας έχουμε βαρεθεί.

Το πρόβλημα αυτή τη στιγμή το έχει το android, αν ήταν το ios θα το κράζαμε αλλά ΔΕΝ είναι.

Πραγματικά μερικοί είστε άρρωστοι με αυτή τη κόντρα και το μόνο επιχείρημα που έχετε όταν διαλύεται συζητήσεις είναι ότι τα fanboys της apple....κλπ κλπ.

Εγώ βλέπω μόνο κολλημένα μυαλά που δεν λένε να καταλάβουν.Επίσης πολλές φορές αυτοί που κράζουν την apple είναι οι ίδιοι που δεν έχουν τρέξει ούτε 10 λεπτά ένα ubuntu ένα mint και όταν μιλάνε για linux νομίζουν ότι είναι κάποια εταιρεία...

[mitsosbmx]

Γιατι το Ubuntu και mint ειναι τα καμαρια του Linux..τελος παντων αλλοι ανεχονται την αισχροκερδια της apple αλλοι οχι

 

[poisom]

Απλά αν κάποιος ξέρει δηλαδή...Στο iphone η apple έχει ελέγχξει 600.000 εφαρμογές?

Ναι όλες οι εφαρμογές ελέγχονται. Όπως είπε και ένας φίλος παραπάνω δεν μπορείς...

[xtrmsnpr]

ωχ τωρα την εβαψες ερχεται ο digekas να σε κανει ρομπα..

 

:confused: :confused: :confused:

 

εεε ντάξει..θα ζήσω και με αυτό..

Απλώς πολύ μπλαμπλά..Τόσα θέματα πια;

 

Αν ήταν και τα linux έτσι θα ταν..Αφού λινουξ είναι ε;