Июл
24
2012

Безопасность: что ждать от приложений без прав доступа?

Просмотров: 59

security

Сколько уже было сказано о безопасности в Android. Можно сказать, что вопрос безопасности мало коснется опытных пользователей данной операционной системы и современных гаджетов в принципе. Это можно объяснить тем, что какой-то опасный вирус, написанный под Android сложно запустить на смартфоне, если, конечно, сам пользователь этого не сделает.

Конечно, можно тщательно следить за тем, что Вы устанавливаете, но что бы вы сделали, если бы приложение не запрашивало во время установки совсем никаких полномочий,  или требовало бы что-то нейтральное?

На что же способно андроид-приложение захотела выяснить группа энтузиастов. Опыты велись с приложением, которое во время установки не запрашивает от пользователя вообще никаких полномочий. По окончании эксперимента они получили удивительные результаты, да и сам он вышел увлекательным.

Так вот, удалось выяснить, что запуском такого приложения можно достигнуть как минимум трех нежелательных последствий. Конечно, ничего серьезного, но уделить этому внимание, все же стоит.

Приложение сможет без проблем считать данные с вашей внешней карты памяти. И в Android это было всегда. Но, к нашему счастью, записать что-то на карту памяти оно не сможет. Другими словами, чтобы создавать папки и файлы требуется  разрешение, поэтому этого не могут сделать все приложения, но практически любое может получить доступ к тому, что там уже есть. Так что, если в Вашем гаджете есть секретные данные, и Вы не хотели бы неожиданно увидеть их потом в Интернете, то не стоит хранить их на своей micro sd-карточке.

Косательно возможности приложения без полномочий читать данные из каталога /data/system/packages.list, что даёт доступ к информации о списке установленных программ, и исходя из этого сделать выводы о том, какие эксплоиты можно применить для поражения конкретного устройства. Но для их использования всё равно как-то придется заставить жертву установить приложение, требующее определённые пермишенны.

Третья возможность напоминает вторую: чтение каталога /proc, из которого можно взять для себя некую информацию о самой системе, это может быть Android ID, версия ядра, версия прошивки и пр. Казалось бы, эта информация достаточно безвредна, но ей можно воспользоваться, чтобы сделать выводы для планирования будующих атак.

Итак, как мы видим, полномочий и приложений без полномочий создано не так уж много, но с их помощью можно добраться до определённой информации о пользователе Android, и вдальнейшем использовать ее для своих целей. Посему не следует задаваться и рассчитывать на абсолютную непрошибаемость системы. И только опыт спасет Ваше устройство от всех посягательств мошенников или вирусов.

Ваша оценка:

12345

Оставить комментарий