Android již dlouho umožňuje aplikacím sledovat síťovou aktivitu na zařízení. To by mohli útočníci zneužít ke škodlivým účelům. Díky nedávné změně to již nebude povoleno.
Roky stará chyba ochrany osobních údajů se na Androidu konečně chýlí ke konci. Je to problém, o kterém jste pravděpodobně nikdy neslyšeli, ale měli byste se jím rozhodně zabývat. V současné době mohou aplikace pro Android získat plný přístup k síťové aktivitě na vašem zařízení—i bez vyžádání jakýchkoli citlivých oprávnění. Tyto aplikace nemohou detekovat obsah z vašich síťových hovorů, ale mohou čichat jakékoli odchozí nebo příchozí připojení přes TCP/UDP a určit, zda se připojujete k určitému serveru. Aplikace může například zjistit, kdy se jiná aplikace ve vašem zařízení připojuje k serveru finanční instituce. Nevěříš mi? Prostě stáhněte si jednu z mnoha aplikací netstat v Obchodě Play a přesvědčte se sami.
Cena: Zdarma.
3.8.
Aplikace Netstat Plus detekuje, že se můj telefon připojil k Chase Bank.
Jakákoli aplikace může zjistit nejen to, jaké další aplikace ve vašem zařízení se připojují k internetu, ale také by mohli vyprávět když se tyto aplikace připojují k internetu a kam se připojují. Je zřejmé, že se jedná o vážnou díru v soukromí, kterou Google konečně řeší, ale důsledky malwaru jsou také docela vážné (nebudeme zacházet dále podrobnosti, abychom nikomu nedávali nápady.) Slyšel jsem o několika stinných aplikacích v Obchodě Play, které používají tuto metodu ke zjištění, kdy se připojíte ke službám, které neschvalují z. Aplikace jako Facebook, Twitter a další aplikace sociálních médií to mohou využít ke sledování vaší síťové aktivity bez vašeho vědomí.
Opravy přicházejí na Android P
V projektu Android Open Source Project se objevil nový commit, který má „zahájit proces uzamčení proc/net“. /proc/net obsahuje spoustu výstupů z jádra souvisejících se síťovou aktivitou. Tady je v současné době žádné omezení přístupu aplikací k /proc/net, což znamená, že odtud mohou číst (zejména soubory TCP a UDP) a analyzovat síťovou aktivitu vašeho zařízení. Můžete si do telefonu nainstalovat terminálovou aplikaci a zadat cat /proc/net/udp přesvědčit se na vlastní oči.
Ale díky nové změny Při přechodu na pravidla SELinux systému Android bude přístup k některým z těchto informací omezen. Změna se týká zejména pravidel SELinux systému Android P a znamená, že k některým z těchto souborů mohou získat přístup pouze určené aplikace VPN. Ostatní aplikace usilující o přístup budou systémem auditovány. Z důvodu kompatibility se zdá, že aplikace, které cílí na úrovně API < 28, budou mít prozatím stále přístup. Tohle znamená tamto do roku 2019, kdy aplikace budou muset cílit na úroveň API 28, většina aplikací bude mít stále neomezený přístup.
Tuto změnu pravděpodobně uvidíme v budoucím náhledu vývojáře Android P. Pokud používáte vlastní ROM, jako je např CopperheadOS, pak jste již v bezpečí, protože tyto změny SELinux byly provedeny před lety. Jsme rádi, že Google po mnoha letech neomezeného přístupu konečně omezil přístup k /proc/net. Je to velmi malá změna, kterou si uživatelé pravděpodobně nevšimnou, ale důsledky pro soukromí uživatelů budou obrovské. Jen doufáme, že tato oprava je zpětně portována pro starší verze Androidu, takže ji lze použít v měsíční aktualizaci bezpečnostní opravy.
Oprava: Původní verze tohoto článku hlásila, že opravy přijdou na Android 7.1+. Po diskuzi s vývojáři dobře obeznámenými s SELinux se zdá, že se změna týká aplikací cílených na API úrovně 28 běžících na Androidu P.