Výskumníci zistili, že veľa aplikácií pre Android v obchode Google Play má spôsoby, ako obísť model povolení systému Android na zber používateľských údajov.
Napriek vnímaniu používateľov je Android ako mobilný operačný systém v skutočnosti celkom bezpečný. Vo všeobecnosti akceptujeme predpoklad, že najslabším článkom je používateľ; pokiaľ budete sledovať, čo inštalujete a aké povolenia udeľujete, mali by ste byť v bezpečí pred neoprávneným prístupom a distribúciou vašich údajov. Ak aplikácii pre Android zamietnete prístup k vašej polohe, táto aplikácia by nemala mať žiadny spôsob, ako zistiť, kde ste alebo kde ste boli. Niektorí vývojári aplikácií však podľa výskumníkov z International Computer Science Institute (ICSI) prišli na spôsoby, ako obísť model povolení Androidu.
Podľa CNET, štúdia bola prezentovaná minulý mesiac o PrivacyCon po tom, čo bol v septembri minulého roka zodpovedne oznámený spoločnosti Google aj FTC. Napriek tomu dokument uverejnený na webovej stránke FTC neuvádza presné aplikácie, ktoré tím označil vo svojej analýze (tieto podrobnosti budú uvedené neskôr na stránke
Bezpečnostná konferencia Usenix budúci mesiac), poskytuje podrobnosti o ich metóde analýzy a o tom, ako aplikácie obchádzali model povolení systému Android. Google hovorí, že bezpečnosť a ochrana osobných údajov sa mení, čo Google stojí za to predstavil v systéme Android Q uzavrie tieto metódy obchádzania, takže tento dokument poskytuje cenný prehľad o odôvodneniach spoločnosti Google pre niektoré zmeny platformy, ktoré vykonal v systéme Android 10. Poďme sa ponoriť.Ako viac ako 1000 aplikácií obišlo model povolení systému Android
Vedci rozlišujú dve rôzne techniky obchádzania bezpečnosti: bočné kanály a skryté kanály. Techniky bočného kanála zahŕňajú získanie prístupu ku konkrétnym informáciám spôsobom, ktorý nie je pokrytý bezpečnostným mechanizmom; napríklad aplikácie boli schopné sledovať polohu zariadenia pomocou MAC adresy, kým Android Pie nezaviedol randomizáciu MAC adries. Techniky skrytého kanála zahŕňajú dve služby spolupracujúce na odosielaní údajov z jednej služby, ktorá má platný prístup k službe, ktorá ho nemá; napríklad aplikácia, ktorej bol udelený prístup k polohe, môže tieto údaje zdieľať s aplikáciou, ktorej nebol udelený prístup.
Tím ICSI analyzoval 88 113 najpopulárnejších aplikácií pre Android z obchodu Google Play v USA a objavil viac ako 1 000 aplikácií a knižníc tretích strán, ktoré využívať bočné kanály a/alebo skryté kanály na obchádzanie bezpečnostných opatrení systému Android, aby mali prístup k údajom o polohe a trvalým identifikátorom používateľov zariadení. Ich úplný súbor údajov pozostával z 252 864 súborov APK, pretože tím pravidelne vyhľadával v Obchode Play nové verzie 88 113 aplikácií, ktoré plánovali analyzovať. Spočiatku testovali správanie každej aplikácie na a Google Nexus 5X so systémom Android 6.0.1 Marshmallow, ale neskôr svoje zistenia znova otestovali na a Google Pixel 2 so systémom Android Pie, aby dokázali, že ich zistenia boli stále platné od najnovšieho vydania v čase zverejnenia.
Pomocou tohto súboru údajov tím vyvinul metódu využívajúcu dynamickú a statickú analýzu na zistenie obchádzania modelu povolení systému Android. Inými slovami, tím študoval správanie aplikácie auditovaním správania aplikácie pri spustení (dynamická analýza) alebo skenovaním kódu na potenciálne škodlivé správanie (statické Samozrejme, vývojári škodlivých aplikácií sú si vedomí týchto techník a používajú zahmlievanie kódu a dynamické načítanie kódu na sťaženie statickej analýzy alebo TLS odpočúvanie na zistenie, kedy je aplikácia spustená vo virtualizovanom prostredí, takže tím ICSI použil vo svojich testovanie. V dôsledku toho tím zistil, že aplikácie, ktoré nemajú požadované povolenia, získavajú nasledujúce údaje:
- IMEI: Keďže IMEI je jedinečný trvalý identifikátor, pre online služby je užitočné ho zoškrabať, aby mohli sledovať jednotlivé zariadenia. Tím zistil, že Salmonády a Baidu Súpravy SDK používali na čítanie IMEI skrytý kanál. Aplikácie s legitímnym prístupom k IMEI ukladali skryté súbory na externé úložisko obsahujúce IMEI zariadenia, takže iné aplikácie bez legitímneho prístupu mohli IMEI čítať. Medzi identifikované aplikácie využívajúce súpravu Baidu SDK týmto spôsobom patria aplikácie zábavného parku Disney pre Hongkong a Šanghaj, Samsung Health a Samsung Browser.
- Adresa MAC siete: MAC adresa siete je tiež jedinečným identifikátorom a zvyčajne je chránená povolením ACCESS_NETWORK_STATE. Podľa výskumníkov aplikácie používali natívny kód C++ na „vyvolanie množstva nestrážených systémových hovorov UNIX“. Tím identifikoval 42 aplikácií pomocou súpravy Unity SDK na otvorenie a sieťová zásuvka a ioctl na získanie MAC adresy, hoci poznamenali, že 748 z 12 408 aplikácií obsahovalo príslušný kód, pričom im chýbal ACCESS_NETWORK_STATE povolenie.
- Adresa MAC smerovača: Povolenie ACCESS_WIFI_STATE chráni BSSID, ale čítanie vyrovnávacej pamäte ARP v /proc/net/arp umožňuje aplikácii získať tieto údaje bez potreby akýchkoľvek povolení. Výskumník identifikoval OpenX SDK používa túto techniku bočného kanála.
- Geolokácia: Výskumníci zistili, že aplikácia Shutterfly pristupovala k značkám umiestnenia EXIF metadát fotografií. Všetko, čo je potrebné, je povolenie READ_EXTERNAL_STORAGE.
V systéme Android Q teraz Google vyžaduje, aby aplikácie mali povolenie READ_PRIVILEGED_PHONE_STATE na čítanie IMEI. Zariadenia so systémom Android Q teraz predvolene prenášajú náhodné adresy MAC. Nakoniec Android Q Scoped Storage zmeny zmierňujú schopnosť aplikácií čítať údaje o polohe z fotografií. Tieto obavy boli teda vyriešené v najnovšom vydaní systému Android, ale ako všetci vieme, bude trvať dosť dlho aby sa rozšírila najnovšia aktualizácia.
Záver
Celkovo táto štúdia poskytuje jasný pohľad na to, ako niektoré aplikácie pristupujú k údajom, ktoré by mali byť chránené povoleniami. Výskum sa zameral iba na podmnožinu toho, čo Google nazýva „nebezpečné“ povolenia, najmä na preskočenie povolení, ako sú Bluetooth, kontakty a SMS. Ak chcete získať úplné podrobnosti o tejto správe, odporúčam vám prečítať si papier predložený FTC.