Cercetătorii au descoperit că multe aplicații Android de pe Google Play Store aveau modalități de a ocoli modelul de permisiuni Android pentru a colecta datele utilizatorilor.
În ciuda percepției utilizatorilor, Android este de fapt destul de sigur ca sistem de operare mobil. Acceptăm în general premisa că cea mai slabă verigă este utilizatorul; atâta timp cât urmăriți ce instalați și ce permisiuni acordați, ar trebui să fiți ferit de accesul și distribuirea neautorizată a datelor dvs. Dacă interziceți accesul unei aplicații Android la locația dvs., atunci acea aplicație nu ar trebui să aibă nicio modalitate de a afla unde vă aflați sau unde ați fost. Cu toate acestea, unii dezvoltatori de aplicații au găsit modalități de a ocoli modelul de permisiuni Android, potrivit cercetătorilor de la Institutul Internațional de Științe Informatice (ICSI).
Conform CNET, studiul a fost prezentat luna trecută la ConfidențialitateCon după ce a fost dezvăluit în mod responsabil atât către Google, cât și către FTC în septembrie anul trecut. desi
lucrare publicată pe site-ul FTC nu listează aplicațiile exacte pe care echipa le-a semnalat în analiza lor (aceste detalii vor veni mai târziu la Conferința de securitate Usenix luna viitoare), oferă detalii despre metoda lor de analiză și despre modul în care aplicațiile ocoleau modelul de permisiuni Android. Pentru cât merită, Google spune că securitatea și confidențialitatea schimbă Google a introdus în Android Q va închide aceste metode de ocolire, astfel că această lucrare oferă o perspectivă valoroasă asupra justificărilor Google pentru unele dintre modificările platformei pe care le-au făcut în Android 10. Să ne scufundăm.Cum >1000 de aplicații au ocolit modelul de permisiuni Android
Cercetătorii disting între două tehnici diferite de eludare a securității: canale laterale și canale ascunse. Tehnicile canalului secundar implică obținerea accesului la anumite informații într-un mod care nu este acoperit de mecanismul de securitate; de exemplu, aplicațiile erau capabile să urmărească locația unui dispozitiv folosind adresa MAC până când Android Pie a introdus randomizarea adreselor MAC. Tehnicile de canal secret implică două servicii care cooperează pentru a trimite date de la un serviciu care are acces valid la unul care nu are; de exemplu, o aplicație căreia i s-a acordat acces la locație poate partaja acele date cu o aplicație căreia nu i s-a acordat acces.
Echipa ICSI a analizat 88.113 dintre cele mai populare aplicații Android din Magazinul Google Play din SUA și a descoperit peste 1.000 de aplicații și biblioteci terță parte care folosește canale secundare și/sau canale ascunse pentru a eluda măsurile de securitate ale Android, astfel încât să poată accesa datele de locație și identificatorii persistenti ai utilizatorilor. dispozitive. Setul lor complet de date a constat din 252.864 APK-uri, deoarece echipa a scos periodic Magazinul Play pentru versiuni noi ale celor 88.113 de aplicații pe care plănuiau să le analizeze. Ei au testat inițial comportamentul fiecărei aplicații pe un Google Nexus 5X rulează Android 6.0.1 Marshmallow, dar ulterior și-au retestat descoperirile pe a Google Pixel 2 rulează Android Pie pentru a dovedi că descoperirile lor erau încă valabile la cea mai recentă lansare la momentul dezvăluirii.
Cu acest set de date, echipa a dezvoltat o metodă care utilizează analiza dinamică și statică pentru a detecta ocolirea modelului de permisiuni Android. Cu alte cuvinte, echipa a studiat comportamentul aplicației auditând comportamentul de rulare al aplicației (analiza dinamică) sau scanând codul pentru comportament potențial rău intenționat (static analiză.) Desigur, dezvoltatorii de aplicații rău intenționate sunt conștienți de aceste tehnici, folosind ofuscarea codului și încărcarea dinamică a codului pentru a îngreuna analiza statică sau TLS. interceptarea pentru a detecta când aplicația rulează într-un mediu virtualizat, astfel încât echipa ICSI a folosit o combinație de analiză statică și dinamică (analiza hibridă) în testarea. Drept urmare, echipa a descoperit că următoarele date erau răzuite de aplicații care nu aveau permisiunile necesare:
- IMEI: Întrucât un IMEI este un identificator unic și persistent, este util ca serviciile online să găsească, astfel încât să poată urmări dispozitivele individuale. Echipa a descoperit că Salmonade și Baidu SDK-urile foloseau un canal secret pentru a citi IMEI. Aplicațiile cu acces legitim la IMEI stocau fișiere ascunse pe stocarea externă care conținea IMEI-ul dispozitivului, astfel încât alte aplicații fără acces legitim să poată citi IMEI. Aplicațiile identificate care utilizează SDK-ul Baidu în acest mod includ aplicațiile Disney pentru parcul tematic pentru Hong Kong și Shanghai, Samsung Health și Samsung Browser.
- Adresa MAC de rețea: Adresa MAC de rețea este, de asemenea, un identificator unic și, de obicei, este protejată de permisiunea ACCESS_NETWORK_STATE. Potrivit cercetătorilor, aplicațiile foloseau cod nativ C++ pentru a „invoca un număr de apeluri de sistem UNIX neprotejate”. Echipa a identificat 42 de aplicații folosind SDK-ul Unity pentru a deschide un priză de rețea și un ioctl pentru a obține adresa MAC, deși au remarcat că 748 din cele 12.408 de aplicații conțineau codul în cauză, în timp ce nu aveau ACCESS_NETWORK_STATE permisiune.
- Adresa MAC a routerului: Permisiunea ACCESS_WIFI_STATE protejează BSSID-ul, dar citirea cache-ului ARP în /proc/net/arp permite unei aplicații să obțină acele date fără a avea nevoie de permisiuni. Cercetatorul a identificat OpenX SDK ca folosind această tehnică de canal lateral.
- Geolocalizare: Cercetătorii au descoperit că aplicația Shutterfly accesa etichetele de locație ale metadatelor EXIF ale fotografiilor. Tot ceea ce este necesar este permisiunea READ_EXTERNAL_STORAGE.
În Android Q, Google cere acum ca aplicațiile să aibă permisiunea READ_PRIVILEGED_PHONE_STATE pentru a citi IMEI. Dispozitivele care rulează Android Q transmit acum adrese MAC aleatorii în mod implicit. În sfârșit, Android Q-uri Spațiu de stocare modificările atenuează capacitatea aplicațiilor de a citi datele despre locație din fotografii. Astfel, aceste preocupări au fost abordate în cea mai recentă versiune Android, dar așa cum știm cu toții, va fi ia destul de mult timp pentru propagarea celei mai recente actualizări.
Concluzie
În general, acest studiu oferă o privire iluminatoare asupra modului în care unele aplicații accesează datele care ar trebui protejate în spatele permisiunilor. Cercetarea a analizat doar un subset din ceea ce Google numește permisiuni „periculoase”, în special sărind peste permisiuni precum Bluetooth, contacte și SMS-uri. Pentru detalii complete despre acest raport, vă recomand să citiți lucrare depusă la FTC.