Araştırmacılar, Google Play Store'daki birçok Android uygulamasının, kullanıcı verilerini toplamak için Android'in izin modelini atlamanın yollarına sahip olduğunu buldu.
Kullanıcı algısına rağmen Android aslında bir mobil işletim sistemi olarak oldukça güvenlidir. Genel olarak en zayıf halkanın kullanıcı olduğu önermesini kabul ediyoruz; Ne yüklediğinize ve hangi izinleri verdiğinize dikkat ettiğiniz sürece verilerinize yetkisiz erişime ve dağıtıma karşı güvende olursunuz. Bir Android uygulamasının konumunuza erişimini reddederseniz, o uygulamanın nerede olduğunuzu veya nerede olduğunuzu anlamasının herhangi bir yolu olmamalıdır. Ancak Uluslararası Bilgisayar Bilimleri Enstitüsü'nden (ICSI) araştırmacılara göre bazı uygulama geliştiricileri Android'in izin modelini aşmanın yollarını buldu.
Buna göre CNET, çalışma geçen ay şu tarihte sunuldu: GizlilikCon Geçtiğimiz Eylül ayında hem Google'a hem de FTC'ye sorumlu bir şekilde açıklandıktan sonra. rağmen FTC'nin web sitesinde yayınlanan makale
ekibin analizlerinde işaretlediği uygulamaları tam olarak listelemiyor (bu ayrıntılar daha sonra gelecek) Usenix Güvenlik konferansı gelecek ay), analiz yöntemleri ve uygulamaların Android'in izin modelini nasıl atladığı hakkında ayrıntılar sağlıyor. Google, ne olursa olsun güvenlik ve gizliliğin Google'ın değiştirdiğini söylüyor Android Q'da tanıtıldı bu baypas yöntemlerini kapatacaktır; dolayısıyla bu belge, Google'ın Android 10'da yaptığı bazı platform değişikliklerinin gerekçeleri hakkında değerli bilgiler sunmaktadır. Hadi dalalım.1000'den fazla Uygulama Android'in İzin Modelini Nasıl Atladı?
Araştırmacılar iki farklı güvenlik atlama tekniğini birbirinden ayırıyor: yan kanallar ve gizli kanallar. Yan kanal teknikleri, belirli bilgilere güvenlik mekanizmasının kapsamadığı bir şekilde erişmeyi içerir; örneğin, Android Pie MAC adresi rastgeleleştirmesini getirene kadar uygulamalar MAC adresini kullanarak bir cihazın konumunu izleyebiliyordu. Gizli kanal teknikleri, geçerli erişimi olan bir hizmetten geçerli erişimi olmayan bir hizmete veri göndermek için iki hizmetin işbirliği yapmasını içerir; örneğin konum erişimi verilen bir uygulama, bu verileri erişim izni verilmeyen bir uygulamayla paylaşabilir.
ICSI ekibi, ABD Google Play Store'daki en popüler 88.113 Android uygulamasını analiz etti ve 1.000'den fazla uygulama ve üçüncü taraf kitaplığını keşfetti. Kullanıcıların konum verilerine ve kalıcı tanımlayıcılarına erişebilmek amacıyla Android'in güvenlik önlemlerini atlatmak için yan kanallar ve/veya gizli kanallar kullanırlar. cihazlar. Ekip, analiz etmeyi planladığı 88.113 uygulamanın yeni sürümleri için periyodik olarak Play Store'u araştırdığından, tam veri kümeleri 252.864 APK'dan oluşuyordu. Başlangıçta her uygulamanın davranışını bir testte test ettiler. Google Nexus 5X Android 6.0.1 Marshmallow kullanıyordu ancak daha sonra bulgularını bir Google Piksel 2 Bulgularının, açıklamanın yapıldığı tarihteki en son sürüm itibarıyla hala geçerli olduğunu kanıtlamak için Android Pie çalıştırılıyor.
Ekip, bu veri kümesiyle Android'in izin modelinin aşıldığını tespit etmek için dinamik ve statik analiz kullanan bir yöntem geliştirdi. Başka bir deyişle ekip, uygulamanın çalışma zamanı davranışını denetleyerek (dinamik analiz) veya kodu potansiyel olarak kötü amaçlı davranışlara karşı tarayarak (statik) uygulama davranışını inceledi. Analiz.) Elbette kötü niyetli uygulama geliştiricileri, statik analizi veya TLS'yi zorlaştırmak için kod gizleme ve dinamik kod yükleme kullanan bu tekniklerin farkındadır. uygulamanın sanallaştırılmış bir ortamda çalıştığını tespit etmek için müdahalede bulunulması nedeniyle ICSI ekibi, çalışmalarında statik ve dinamik analizin (hibrit analiz) bir karışımını kullandı. test yapmak. Sonuç olarak ekip, aşağıdaki verilerin gerekli izinlere sahip olmayan uygulamalar tarafından silindiğini keşfetti:
- IMEI: IMEI benzersiz ve kalıcı bir tanımlayıcı olduğundan, çevrimiçi hizmetlerin ayrı ayrı cihazları izleyebilmeleri için kazıması yararlıdır. Ekip şunu keşfetti: Somonadlar Ve Baidu SDK'lar IMEI'yi okumak için gizli bir kanal kullanıyordu. IMEI'ye meşru erişimi olan uygulamalar, meşru erişimi olmayan diğer uygulamaların IMEI'yi okuyabilmesi için cihazın IMEI'sini içeren harici depolama alanında gizli dosyalar saklıyordu. Baidu'nun SDK'sını bu şekilde kullanan tespit edilen uygulamalar arasında Disney'in Hong Kong ve Şanghay için tema parkı uygulamaları, Samsung Health ve Samsung Tarayıcı yer alıyor.
- Ağ MAC Adresi: Ağ MAC adresi de benzersiz bir tanımlayıcıdır ve normalde ACCESS_NETWORK_STATE izniyle korunur. Araştırmacılara göre uygulamalar "bir dizi korumasız UNIX sistem çağrısını başlatmak" için C++ yerel kodunu kullanıyordu. Ekip, Unity SDK'yı kullanarak bir uygulama açan 42 uygulamayı belirledi. MAC adresini almak için ağ soketi ve bir ioctl, ancak 12.408 uygulamadan 748'inin söz konusu kodu içerdiğini ancak ACCESS_NETWORK_STATE'den yoksun olduğunu belirttiler. izin.
- Yönlendirici MAC Adresi: ACCESS_WIFI_STATE izni BSSID'yi korur, ancak /proc/net/arp dosyasındaki ARP önbelleğini okumak, uygulamanın herhangi bir izne ihtiyaç duymadan bu verileri almasına olanak tanır. Araştırmacı şunları tespit etti: OpenX Bu yan kanal tekniğini kullanan SDK.
- Coğrafi konum: Araştırmacılar Shutterfly uygulamasının fotoğrafların EXIF meta verilerinin konum etiketlerine eriştiğini keşfetti. Tek gereken READ_EXTERNAL_STORAGE iznidir.
Android Q'da Google artık uygulamaların IMEI'yi okuyabilmesi için READ_PRIVILEGED_PHONE_STATE iznine sahip olmasını gerektiriyor. Android Q çalıştıran cihazlar artık varsayılan olarak rastgele MAC adresleri aktarıyor. Son olarak Android Q'lar Kapsamlı Depolama değişiklikler, uygulamaların fotoğraflardan konum verilerini okuma yeteneğini azaltır. Bu nedenle, bu endişeler en son Android sürümünde ele alınmıştır, ancak hepimizin bildiği gibi, biraz zaman al En son güncellemenin yayılması için.
Çözüm
Genel olarak bu çalışma, bazı uygulamaların izinlerle korunması gereken verilere nasıl eriştiğine dair aydınlatıcı bir bakış sunuyor. Araştırma, Google'ın "tehlikeli" izinler olarak adlandırdığı izinlerin yalnızca bir alt kümesine baktı; özellikle Bluetooth, kişiler ve SMS gibi izinler atlandı. Bu raporun tüm ayrıntıları için şu makaleyi okumanızı tavsiye ederim: FTC'ye gönderilen kağıt.