Android har længe givet apps mulighed for at overvåge netværksaktivitet på enheden. Dette kan blive udnyttet af angribere til ondsindede formål. Takket være en nylig ændring vil dette ikke længere være tilladt.
En år gammel privatlivsfejl vil endelig være ved at være slut på Android. Det er et problem, du sikkert aldrig har hørt om, men som du absolut bør være bekymret over. I øjeblikket kan apps på Android få fuld adgang til netværksaktiviteten på din enhed—selv uden at bede om nogen følsomme tilladelser. Disse apps kan ikke registrere indholdet af dine netværksopkald, men de kan sniffe enhver udgående eller indgående forbindelse via TCP/UDP for at afgøre, om du opretter forbindelse til en bestemt server. For eksempel kan en app registrere, når en anden app på din enhed opretter forbindelse til en finansiel institutions server. Tror du mig ikke? Lige download en af de mange netstat-apps i Play Butik og se selv.
Pris: Gratis.
3.8.
Netstat Plus-appen registrerer, at min telefon er forbundet til Chase Bank.
Enhver app kunne opdage ikke kun hvilke andre apps på din enhed, der opretter forbindelse til internettet, men de kunne også fortælle når disse apps opretter forbindelse til internettet og hvor de forbinder sig. Det er klart, at dette er et alvorligt hul i privatlivets fred, som Google endelig løser, men malware-implikationerne er også ret alvorlige (vi vil ikke gå nærmere ind på detaljer om ikke at give nogen idéer.) Jeg har hørt om et par lyssky apps i Play Butik, der bruger denne metode til at registrere, når du opretter forbindelse til tjenester, som de ikke godkender af. Apps som Facebook, Twitter og andre sociale medier apps kunne bruge dette til at spore din netværksaktivitet uden din viden.
Rettelser på vej til Android P
En ny commit er dukket op i Android Open Source Project for at "starte processen med at låse proc/net ned." /proc/net indeholder en masse output fra kernen relateret til netværksaktivitet. Der er i øjeblikket ingen begrænsninger for apps adgang til /proc/net, hvilket betyder, at de kan læse herfra (især TCP- og UDP-filerne) for at analysere din enheds netværksaktivitet. Du kan installere en terminalapp på din telefon og gå ind cat /proc/net/udp at se selv.
Men takket være nye ændringer kommer til Androids SELinux-regler, vil adgangen til nogle af disse oplysninger være begrænset. Især gælder ændringen for SELinux-reglerne for Android P, og det betyder, at kun udpegede VPN-apps kan få adgang til nogle af disse filer. Andre applikationer, der søger adgang, vil blive revideret af systemet. Af kompatibilitetsformål ser det ud til, at apps, der målretter mod API-niveauer < 28, stadig vil have adgang indtil videre. Det betyder at indtil 2019, hvor apps skal målrettes mod API-niveau 28, vil de fleste apps stadig have ubegrænset adgang.
Vi vil sandsynligvis se denne ændring lande i en fremtidig Android P Developer Preview. Hvis du bruger en brugerdefineret ROM som f.eks Copperhead OS, så er du allerede sikker, da disse SELinux-ændringer er blevet foretaget for år siden. Vi er glade for at se Google endelig begrænse adgangen til /proc/net efter mange års ubegrænset adgang. Det er en meget lille ændring, som brugerne sandsynligvis ikke vil bemærke, men konsekvenserne for brugernes privatliv vil være massive. Vi håber bare, at denne rettelse er backporteret til tidligere Android-versioner, så den kan anvendes i en månedlig sikkerhedsopdatering.
Rettelse: den første version af denne artikel rapporterede, at rettelserne ville komme til Android 7.1+. Efter at have diskuteret med udviklere, der er velbevandret i SELinux, ser det ud til, at ændringen gælder for apps, der er målrettet mod API-niveau 28, der kører på Android P.