Više od 1000 Android aplikacija može pristupiti korisničkim podacima bez odgovarajućih dopuštenja

Istraživači su otkrili da su mnoge Android aplikacije u Google Play Storeu imale načina zaobići Androidov model dopuštenja za prikupljanje korisničkih podataka.

Unatoč percepciji korisnika, Android je zapravo prilično siguran kao mobilni OS. Općenito prihvaćamo premisu da je najslabija karika korisnik; sve dok pazite što instalirate i koja dopuštenja dajete, trebali biste biti sigurni od neovlaštenog pristupa i distribucije vaših podataka. Ako zabranite Android aplikaciji pristup vašoj lokaciji, tada ta aplikacija ne bi trebala imati nikakav način da otkrije gdje se nalazite ili gdje ste bili. Međutim, neki programeri aplikacija otkrili su načine kako zaobići Androidov model dopuštenja, tvrde istraživači s Međunarodnog instituta za računalne znanosti (ICSI).

Prema CNET, studija je predstavljena prošlog mjeseca na PrivacyCon nakon što je u rujnu prošle godine odgovorno otkriven Googleu i FTC-u. iako rad objavljen na web stranici FTC-a ne navodi točne aplikacije koje je tim označio u svojoj analizi (ti će detalji biti objavljeni kasnije na

Usenix sigurnosna konferencija sljedeći mjesec), pruža pojedinosti o njihovoj metodi analize i kako su aplikacije zaobilazile Androidov model dopuštenja. Što se toga tiče, Google kaže da sigurnost i privatnost mijenjaju taj Google je uveo u Android Q će zatvoriti ove metode zaobilaženja, stoga ovaj dokument pruža vrijedan uvid u Googleova opravdanja za neke promjene platforme koje su napravili u Androidu 10. Zaronimo.

Kako je >1000 aplikacija zaobišlo Androidov model dopuštenja

Istraživači razlikuju dvije različite tehnike zaobilaženja sigurnosti: sporedne kanale i skrivene kanale. Tehnike sporednog kanala uključuju dobivanje pristupa određenim informacijama na način koji nije pokriven sigurnosnim mehanizmom; na primjer, aplikacije su mogle pratiti lokaciju uređaja pomoću MAC adrese sve dok Android Pie nije uveo nasumično odabiranje MAC adresa. Tehnike prikrivenog kanala uključuju dva servisa koji surađuju kako bi poslali podatke s jednog servisa koji ima valjani pristup onom koji ga nema; na primjer, aplikacija kojoj je odobren pristup lokaciji može dijeliti te podatke s aplikacijom kojoj nije odobren pristup.

ICSI tim analizirao je 88.113 najpopularnijih Android aplikacija iz američke trgovine Google Play i otkrio preko 1.000 aplikacija i biblioteka trećih strana koje koriste sporedne kanale i/ili skrivene kanale kako bi zaobišli Androidove sigurnosne mjere kako bi mogli pristupiti podacima o lokaciji i trajnim identifikatorima korisnika uređaja. Njihov puni skup podataka sastojao se od 252.864 APK-a budući da je tim povremeno tražio u Trgovini Play nove verzije 88.113 aplikacija koje su planirali analizirati. U početku su testirali ponašanje svake aplikacije na Google Nexus 5X koristi Android 6.0.1 Marshmallow, ali su kasnije ponovno testirali svoja otkrića na Google Pixel 2 pokrenuti Android Pie kako bi dokazali da su njihova otkrića još uvijek važeća od posljednjeg izdanja u vrijeme objave.

S ovim skupom podataka tim je razvio metodu pomoću dinamičke i statičke analize za otkrivanje zaobilaženja Androidovog modela dopuštenja. Drugim riječima, tim je proučavao ponašanje aplikacije revidirajući ponašanje aplikacije u vremenu izvođenja (dinamička analiza) ili skenirajući kod u potrazi za potencijalno zlonamjernim ponašanjem (statička analiza.) Naravno, programeri zlonamjernih aplikacija svjesni su ovih tehnika, koristeći maskiranje koda i dinamičko učitavanje koda kako bi otežali statičku analizu ili TLS presretanje za otkrivanje kada aplikacija radi u virtualiziranom okruženju, pa je ICSI tim upotrijebio kombinaciju statičke i dinamičke analize (hibridne analize) u svojoj testiranje. Kao rezultat toga, tim je otkrio da aplikacije koje nisu imale potrebna dopuštenja kradu sljedeće podatke:

  • IMEI: Budući da je IMEI jedinstveni, postojani identifikator, korisno je za mrežne usluge strugati kako bi mogle pratiti pojedinačne uređaje. Tim je otkrio da Salmonade i Baidu SDK-ovi su koristili tajni kanal za čitanje IMEI-ja. Aplikacije s legitimnim pristupom IMEI-ju spremale su skrivene datoteke na vanjsku pohranu koja je sadržavala IMEI uređaja kako bi druge aplikacije bez legitimnog pristupa mogle pročitati IMEI. Identificirane aplikacije koje koriste Baiduov SDK na ovaj način uključuju Disneyjeve aplikacije tematskog parka za Hong Kong i Šangaj, Samsung Health i Samsung Browser.
  • Mrežna MAC adresa: Mrežna MAC adresa također je jedinstveni identifikator i obično je zaštićena dozvolom ACCESS_NETWORK_STATE. Prema istraživačima, aplikacije su koristile izvorni kod C++ za "pozivanje niza nezaštićenih poziva UNIX sustava." Tim je identificirao 42 aplikacije koje koriste Unity SDK za otvaranje a mrežnu utičnicu i ioctl za dobivanje MAC adrese, iako su primijetili da 748 od 12 408 aplikacija sadrži dotični kod, a nedostaje im ACCESS_NETWORK_STATE dopuštenje.
  • MAC adresa usmjerivača: Dopuštenje ACCESS_WIFI_STATE štiti BSSID, ali čitanje ARP predmemorije u /proc/net/arp omogućuje aplikaciji da dobije te podatke bez potrebe za ikakvim dopuštenjima. Istraživač je identificirao OpenX SDK koji koristi ovu tehniku ​​bočnog kanala.
  • Geolokacija: Istraživači su otkrili da je aplikacija Shutterfly pristupala oznakama lokacije EXIF ​​metapodataka fotografija. Sve što je potrebno je dozvola READ_EXTERNAL_STORAGE.

U Androidu Q, Google sada zahtijeva da aplikacije imaju dozvolu READ_PRIVILEGED_PHONE_STATE za čitanje IMEI-ja. Uređaji s Androidom Q sada prema zadanim postavkama prenose nasumične MAC adrese. Konačno, Android Q Scoped Storage promjene ublažavaju mogućnost aplikacija da čitaju podatke o lokaciji s fotografija. Stoga su ove nedoumice riješene u najnovijem izdanju Androida, ali kao što svi znamo, bit će potrajati dosta vremena za najnovije ažuriranje za širenje.


Zaključak

Općenito, ova studija daje jasan uvid u to kako neke aplikacije pristupaju podacima koji bi trebali biti zaštićeni dopuštenjima. Istraživanje je promatralo samo podskup onoga što Google naziva "opasnim" dozvolama, posebice preskačući dozvole kao što su Bluetooth, kontakti i SMS. Za sve pojedinosti o ovom izvješću, preporučujem da pročitate papir predan FTC-u.