Badacze odkryli, że wiele aplikacji na Androida w sklepie Google Play ma sposoby na ominięcie modelu uprawnień Androida w celu gromadzenia danych użytkowników.
Pomimo opinii użytkowników, Android jest w rzeczywistości całkiem bezpieczny jako mobilny system operacyjny. Generalnie przyjmujemy założenie, że najsłabszym ogniwem jest użytkownik; tak długo, jak będziesz zwracać uwagę na to, co instalujesz i jakie uprawnienia przyznajesz, powinieneś być chroniony przed nieautoryzowanym dostępem i dystrybucją swoich danych. Jeśli odmówisz aplikacji na Androida dostępu do Twojej lokalizacji, aplikacja ta nie powinna w żaden sposób dowiedzieć się, gdzie jesteś ani gdzie byłeś. Jednak zdaniem badaczy z Międzynarodowego Instytutu Informatyki (ICSI) niektórzy twórcy aplikacji znaleźli sposoby na obejście modelu uprawnień Androida.
Według CNET, badanie zaprezentowano w zeszłym miesiącu o godz PrivacyCon po odpowiedzialnym ujawnieniu ich zarówno Google, jak i FTC we wrześniu ubiegłego roku. Chociaż dokument opublikowany na stronie internetowej FTC
Jak > 1000 aplikacji ominęło model uprawnień Androida
Badacze rozróżniają dwie różne techniki obchodzenia zabezpieczeń: kanały boczne i kanały ukryte. Techniki kanałów bocznych polegają na uzyskaniu dostępu do określonych informacji w sposób nieobjęty mechanizmem bezpieczeństwa; na przykład aplikacje mogły śledzić lokalizację urządzenia na podstawie adresu MAC, dopóki w systemie Android Pie nie wprowadzono losowości adresów MAC. Techniki ukrytego kanału obejmują współpracę dwóch usług w celu wysyłania danych z jednej usługi, która ma ważny dostęp, do drugiej, która nie ma takiego dostępu; na przykład aplikacja, której przyznano dostęp do lokalizacji, może udostępniać te dane aplikacji, której nie przyznano dostępu.
Zespół ICSI przeanalizował 88 113 najpopularniejszych aplikacji na Androida ze sklepu Google Play w USA i odkrył ponad 1000 aplikacji i bibliotek innych firm, które wykorzystywać kanały boczne i/lub ukryte w celu obejścia środków bezpieczeństwa Androida, aby uzyskać dostęp do danych o lokalizacji i trwałych identyfikatorów użytkowników urządzenia. Ich pełny zbiór danych składał się z 252 864 plików APK, ponieważ zespół okresowo przeglądał Sklep Play w poszukiwaniu nowych wersji 88 113 aplikacji, które planował analizować. Początkowo przetestowali zachowanie każdej aplikacji na komputerze Google Nexusie 5X z systemem Android 6.0.1 Marshmallow, ale później ponownie przetestowali swoje ustalenia na komputerze: Google Pixel 2 z systemem Android Pie, aby udowodnić, że ich ustalenia były nadal aktualne w najnowszej wersji w momencie ujawnienia.
Wykorzystując ten zbiór danych, zespół opracował metodę wykorzystującą analizę dynamiczną i statyczną do wykrywania obchodzenia modelu uprawnień Androida. Innymi słowy, zespół badał zachowanie aplikacji, audytując zachowanie aplikacji w czasie jej działania (analiza dynamiczna) lub skanując kod pod kątem potencjalnie złośliwego zachowania (analiza statyczna Oczywiście twórcy złośliwych aplikacji są świadomi tych technik, wykorzystując zaciemnianie kodu i dynamiczne ładowanie kodu, aby utrudnić analizę statyczną lub TLS przechwytywania w celu wykrycia, kiedy aplikacja działa w środowisku zwirtualizowanym, dlatego zespół ICSI zastosował w swoich badaniach połączenie analizy statycznej i dynamicznej (analiza hybrydowa). testowanie. W rezultacie zespół odkrył, że aplikacje, które nie miały wymaganych uprawnień, pobierały następujące dane:
- IMEI: Ponieważ numer IMEI jest unikalnym, trwałym identyfikatorem, przydatne jest, aby usługi online mogły go pobrać, aby móc śledzić poszczególne urządzenia. Zespół odkrył, że Łososiowe I Baidu Zestawy SDK korzystały z tajnego kanału do odczytu numeru IMEI. Aplikacje z legalnym dostępem do numeru IMEI przechowywały ukryte pliki w pamięci zewnętrznej zawierającej numer IMEI urządzenia, aby inne aplikacje bez legalnego dostępu mogły odczytać numer IMEI. Zidentyfikowane aplikacje korzystające w ten sposób z pakietu SDK firmy Baidu obejmują aplikacje parków rozrywki Disneya dla Hongkongu i Szanghaju, Samsung Health i Samsung Browser.
- Sieciowy adres MAC: Sieciowy adres MAC jest również unikalnym identyfikatorem i zwykle jest chroniony uprawnieniem ACCESS_NETWORK_STATE. Według badaczy aplikacje wykorzystywały natywny kod C++ do „wywoływania szeregu niestrzeżonych wywołań systemowych UNIX”. Zespół zidentyfikował 42 aplikacje korzystające z pakietu Unity SDK do otwierania plików gniazdo sieciowe i ioctl w celu uzyskania adresu MAC, chociaż zauważyli, że 748 z 12 408 aplikacji zawierało kwestionowany kod i brakowało im ACCESS_NETWORK_STATE pozwolenie.
- Adres MAC routera: Uprawnienie ACCESS_WIFI_STATE chroni identyfikator BSSID, ale odczyt pamięci podręcznej ARP w /proc/net/arp umożliwia aplikacji uzyskanie tych danych bez konieczności posiadania jakichkolwiek uprawnień. Badacz zidentyfikował OtwórzX SDK jako wykorzystujący tę technikę kanału bocznego.
- Geolokalizacja: Badacze odkryli, że aplikacja Shutterfly uzyskiwała dostęp do znaczników lokalizacji zawartych w metadanych EXIF zdjęć. Wszystko, co jest wymagane, to uprawnienie READ_EXTERNAL_STORAGE.
W systemie Android Q Google wymaga teraz, aby aplikacje miały uprawnienia READ_PRIVILEGED_PHONE_STATE do odczytu numeru IMEI. Urządzenia z systemem Android Q domyślnie przesyłają teraz losowe adresy MAC. Wreszcie Android Q Magazynowanie o ograniczonym zakresie zmiany ograniczają możliwość odczytywania przez aplikacje danych o lokalizacji ze zdjęć. Dlatego te obawy zostały rozwiązane w najnowszej wersji Androida, ale jak wszyscy wiemy, tak się stanie zająć sporo czasu aby najnowsza aktualizacja mogła się rozprzestrzenić.
Wniosek
Ogólnie rzecz biorąc, badanie to zapewnia pouczający wgląd w sposób, w jaki niektóre aplikacje uzyskują dostęp do danych, które powinny być chronione uprawnieniami. W badaniu uwzględniono jedynie podzbiór uprawnień, które Google nazywa „niebezpiecznymi”, w szczególności pomijając uprawnienia takie jak Bluetooth, kontakty i SMS-y. Aby uzyskać szczegółowe informacje na temat tego raportu, polecam przeczytać artykuł dokument przesłany do FTC.