1000-ზე მეტ Android აპს შეუძლია მომხმარებლის მონაცემებზე წვდომა შესაბამისი ნებართვების გარეშე

Xda სრულიNov 13, 2023

მკვლევარებმა დაადგინეს, რომ Google Play Store-ზე Android-ის ბევრ აპს ჰქონდა გზები, რათა გვერდის ავლით აეცილებინათ Android-ის ნებართვის მოდელი მომხმარებლის მონაცემების მოსაპოვებლად.

მიუხედავად მომხმარებლის აღქმისა, Android რეალურად საკმაოდ უსაფრთხოა, როგორც მობილური OS. ჩვენ ზოგადად ვეთანხმებით წინაპირობას, რომ ყველაზე სუსტი რგოლი მომხმარებელია; სანამ უყურებთ რას დააინსტალირებთ და რა ნებართვებს ანიჭებთ, დაცული უნდა იყოთ თქვენი მონაცემების არაავტორიზებული წვდომისა და გავრცელებისგან. თუ თქვენ უარს იტყვით Android აპის წვდომაზე თქვენს მდებარეობაზე, მაშინ ამ აპს არ უნდა ჰქონდეს რაიმე გზა იმის გასარკვევად, თუ სად ხართ ან სად იყავით. თუმცა, აპლიკაციების ზოგიერთმა შემქმნელმა გამოთვალა Android-ის ნებართვის მოდელის გადალახვის გზები, აცხადებენ საერთაშორისო კომპიუტერული მეცნიერების ინსტიტუტის (ICSI) მკვლევარები.

Მიხედვით CNET, კვლევა წარმოდგენილი იყო გასულ თვეში PrivacyCon მას შემდეგ, რაც პასუხისმგებლობით იყო გამჟღავნებული როგორც Google-ისთვის, ასევე FTC-ისთვის გასული წლის სექტემბერში. თუმცა სტატია გამოქვეყნებულია FTC-ის ვებგვერდზე

არ ჩამოთვლის ზუსტ აპებს, რომლებიც გუნდმა მონიშნა თავის ანალიზში (ეს დეტალები მოგვიანებით იქნება Usenix უსაფრთხოების კონფერენცია შემდეგ თვეში), ის გვაწვდის დეტალებს მათი ანალიზის მეთოდზე და იმაზე, თუ როგორ აცილებდნენ აპებს Android-ის ნებართვის მოდელს. რა ღირს, Google ამბობს, რომ უსაფრთხოება და კონფიდენციალურობა ცვლის Google-ს დაინერგა Android Q-ში დახურავს ამ შემოვლითი მეთოდებს, ამდენად, ეს ნაშრომი გვაწვდის ღირებულ ინფორმაციას Google-ის დასაბუთებების შესახებ ზოგიერთი პლატფორმის ცვლილების შესახებ, რომელიც მათ განახორციელეს Android 10-ში. მოდი ჩავყვინთოთ.

როგორ >1000 აპმა გვერდი აუარა Android-ის ნებართვის მოდელს

მკვლევარები განასხვავებენ უსაფრთხოების გვერდის ავლის ორ განსხვავებულ ტექნიკას: გვერდითი არხები და ფარული არხები. გვერდითი არხის ტექნიკა გულისხმობს კონკრეტულ ინფორმაციაზე წვდომას ისე, რომ არ არის დაფარული უსაფრთხოების მექანიზმით; მაგალითად, აპებს შეეძლოთ მოწყობილობის მდებარეობის თვალყურის დევნება MAC მისამართის გამოყენებით, სანამ Android Pie არ შემოიღებდა MAC მისამართების რანდომიზაციას. ფარული არხის ტექნიკა მოიცავს ორ სერვისს, რომლებიც თანამშრომლობენ მონაცემთა გაგზავნისთვის ერთი სერვისიდან, რომელსაც აქვს სწორი წვდომა ერთზე, რომელსაც არ აქვს; მაგალითად, აპმა, რომელსაც მინიჭებული აქვს მდებარეობაზე წვდომა, შეიძლება ეს მონაცემები გაუზიაროს აპს, რომელსაც არ აქვს წვდომა.

ICSI-ის გუნდმა გააანალიზა 88,113 ყველაზე პოპულარული Android აპი აშშ-ს Google Play Store-დან და აღმოაჩინა 1000-ზე მეტი აპლიკაცია და მესამე მხარის ბიბლიოთეკა. გამოიყენეთ გვერდითი არხები და/ან ფარული არხები Android-ის უსაფრთხოების ზომების გვერდის ავლით, რათა მათ შეძლონ წვდომა მდებარეობის მონაცემებზე და მომხმარებელთა მუდმივ იდენტიფიკატორებზე მოწყობილობები. მათი სრული მონაცემთა ნაკრები შედგებოდა 252,864 APK–სგან, მას შემდეგ, რაც გუნდი პერიოდულად ასუფთავებდა Play Store-ს 88,113 აპლიკაციის ახალი ვერსიებისთვის, რომელთა გაანალიზებასაც აპირებდნენ. მათ თავდაპირველად შეამოწმეს თითოეული აპლიკაციის ქცევა ა Google Nexus 5X მუშაობს Android 6.0.1 Marshmallow-ზე, მაგრამ მოგვიანებით ხელახლა გამოსცადა მათი დასკვნები ა Google Pixel 2 გაშვებული Android Pie, რათა დაამტკიცოს, რომ მათი დასკვნები კვლავ ძალაში იყო ბოლო გამოშვების მდგომარეობით გამჟღავნების დროს.

ამ მონაცემთა ნაკრების საშუალებით გუნდმა შეიმუშავა მეთოდი დინამიური და სტატიკური ანალიზის გამოყენებით Android-ის ნებართვის მოდელის გვერდის ავლის გამოსავლენად. სხვა სიტყვებით რომ ვთქვათ, გუნდმა შეისწავლა აპლიკაციის ქცევა აპლიკაციის გაშვების ქცევის აუდიტით (დინამიური ანალიზი) ან კოდის სკანირებით პოტენციურად მავნე ქცევისთვის (სტატიკური ანალიზი.) რა თქმა უნდა, მავნე აპლიკაციების შემქმნელებმა იციან ამ ტექნიკის შესახებ, იყენებენ კოდის დაბინდვას და დინამიური კოდის ჩატვირთვას, რათა გაართულონ სტატიკური ანალიზი ან TLS. ჩარევა იმის დასადგენად, თუ როდის მუშაობს აპი ვირტუალიზებულ გარემოში, ამიტომ ICSI გუნდმა გამოიყენა სტატიკური და დინამიური ანალიზის (ჰიბრიდული ანალიზი) ნაზავი მათში. ტესტირება. შედეგად, გუნდმა აღმოაჩინა, რომ შემდეგი მონაცემები იჭრებოდა აპების მიერ, რომლებსაც არ გააჩნდათ საჭირო ნებართვები:

  • IMEI: იმის გამო, რომ IMEI არის უნიკალური, მუდმივი იდენტიფიკატორი, ონლაინ სერვისებისთვის სასარგებლოა გაფხეკა, რათა მათ შეძლონ ცალკეული მოწყობილობების თვალყურის დევნება. გუნდმა აღმოაჩინა, რომ ორაგული და ბაიდუ SDK-ები იყენებდნენ ფარულ არხს IMEI-ის წასაკითხად. IMEI-ზე ლეგიტიმური წვდომის მქონე აპები ინახავდნენ დამალულ ფაილებს გარე მეხსიერებაში, რომელიც შეიცავს მოწყობილობის IMEI-ს, რათა სხვა აპებს ლეგიტიმური წვდომის გარეშე შეეძლოთ წაიკითხონ IMEI. იდენტიფიცირებული აპები, რომლებიც იყენებენ Baidu-ს SDK-ს ამ გზით, მოიცავს Disney-ის თემატური პარკის აპებს ჰონგ კონგისთვის და შანხაისთვის, Samsung Health და Samsung Browser-ისთვის.
  • ქსელის MAC მისამართი: ქსელის MAC მისამართი ასევე უნიკალური იდენტიფიკატორია და, როგორც წესი, ის დაცულია ACCESS_NETWORK_STATE ნებართვით. მკვლევარების აზრით, აპლიკაციები იყენებდნენ C++-ის მშობლიურ კოდს, რათა „გამოეძახებინათ არაერთი დაუცველი UNIX სისტემის ზარი“. გუნდმა ამოიცნო 42 აპი Unity SDK-ის გამოყენებით ა ქსელის სოკეტი და ioctl MAC მისამართის მისაღებად, თუმცა აღნიშნეს, რომ 12,408 აპლიკაციიდან 748 შეიცავდა მოცემულ კოდს, ხოლო არ ჰქონდა ACCESS_NETWORK_STATE ნებართვა.
  • როუტერის MAC მისამართი: ACCESS_WIFI_STATE ნებართვა იცავს BSSID-ს, მაგრამ ARP ქეშის წაკითხვა /proc/net/arp-ში საშუალებას აძლევს აპლიკაციას მიიღოს ეს მონაცემები ყოველგვარი ნებართვის გარეშე. მკვლევარმა დაადგინა OpenX SDK როგორც ამ გვერდითი არხის ტექნიკის გამოყენებით.
  • გეოლოკაცია: მკვლევარებმა აღმოაჩინეს, რომ Shutterfly აპლიკაცია წვდომა იყო ფოტოების EXIF ​​მეტამონაცემების მდებარეობის ტეგებზე. ყველაფერი რაც საჭიროა არის READ_EXTERNAL_STORAGE ნებართვა.

Android Q-ში Google ახლა მოითხოვს, რომ აპებს ჰქონდეთ READ_PRIVILEGED_PHONE_STATE ნებართვა, წაიკითხონ IMEI. Android Q-ზე გაშვებული მოწყობილობები ახლა ნაგულისხმევად გადასცემენ რანდომიზებულ MAC მისამართებს. და ბოლოს, Android Q მოცულობითი საცავი ცვლილებები ამცირებს აპების უნარს, წაიკითხოს მდებარეობის მონაცემები ფოტოებიდან. ამრიგად, ეს შეშფოთება განიხილება Android-ის უახლეს გამოშვებაში, მაგრამ როგორც ყველამ ვიცით, ეს ასე იქნება საკმაოდ დიდი დრო დასჭირდეს უახლესი განახლებისთვის გასავრცელებლად.

დასკვნა

მთლიანობაში, ეს კვლევა ნათელ განხილვას იძლევა იმის შესახებ, თუ როგორ წვდება ზოგიერთი აპლიკაცია იმ მონაცემებს, რომლებიც დაცული უნდა იყოს ნებართვების მიღმა. კვლევამ შეისწავლა მხოლოდ იმ ქვეჯგუფს, რასაც Google უწოდებს „საშიში“ ნებართვებს, განსაკუთრებით ისეთი ნებართვების გამოტოვებას, როგორიცაა Bluetooth, კონტაქტები და SMS. ამ მოხსენების სრული დეტალებისთვის გირჩევთ წაიკითხოთ დოკუმენტი წარდგენილია FTC-ში.