Den senaste i den oändliga historien om Android-säkerhet är ute, och den här gången talar det om vad en app kan komma åt om den förklarar inga behörigheter. (För att uttrycka det på ett annat sätt, vad allt en applikation kan se om det inte begär någon av de normala funktionalitetsappar som begär.) Vissa människor gör att det inte är något att oroa sig för, andra använder det i sin strävan att fördöma världens mest populära operativsystem för mobiltelefoner, men vi anser att det är bäst att göra med det är att förklara vad som händer.
En grupp säkerhetsforskare planerade att skapa en app som förklarar inga behörigheter för att ta reda på exakt vilken typ av information de kunde få ut från Android-systemet den körde på. Den här typen av saker görs varje dag, och ju mer populärt målet är, desto fler tittar på det. Vi vill faktiskt att de ska göra den här typen av saker, och då och då finner folk saker som är kritiska och behöver fixas. Alla gynnar det.
Den här gången fann de att en app med inga (som i ingen, nada, zilch) behörigheter kan göra tre mycket intressanta saker. Ingen är allvarlig, men alla är värda att titta lite. Vi börjar med SD-kortet.
Varje app kan läsa data på ditt SD-kort. Det har alltid varit så, och det kommer alltid att vara så. (Att skriva till SD-kortet är det som behöver en tillåtelse.) Verktyg finns tillgängliga för att skapa säkra, dolda mappar och skydda dem från andra appar, men som standard är alla data skrivna till SD-kortet där för en app att se. Detta är genom design, eftersom vi vill låta vår dator få tillgång till all information om delbara partitioner (som SD-kort) när vi ansluter dem. Nyare versioner av Android använder en annan partitionsmetod och ett annat sätt att dela data som rör sig bort från det här, men då får vi alla tappa om att använda MTP. (Om du inte är Phil, men han är lite nöjd med gillar MTP.) Det här är en enkel lösning - lägg inte känslig information på ditt SD-kort. Använd inte appar som sätter känslig information på ditt SD-kort. Sluta sedan oroa dig för att program kan se data som de antas kunna se.
Nästa sak som de hittade är verkligen intressant om du är en nörd - en kan läsa filen /data/system/packages.list utan uttryckligt tillstånd. Detta utgör inget hot på egen hand, men att veta vilka applikationer en användare har installerat är ett bra sätt att veta vilka utnyttjande som kan vara användbara för att kompromissa med sin telefon eller surfplatta. Tänk på sårbarheter i andra appar - exemplet som forskarna använde var Skype. Att veta att det finns en exploit, det betyder att en angripare kan försöka rikta in sig på den. Det är värt att nämna att inriktning på en känd osäker app troligtvis kräver vissa behörigheter för att göra det. (Och det är också värt att påminna folk att Skype snabbt erkände och fixade sina behörighetsproblem.)
Slutligen upptäckte de att / proc-katalogen ger lite data när du frågar. Deras exempel visar att de kan läsa saker som Android-ID, kärnversion och ROM-version. Det finns mycket mer som finns i / proc-katalogen, men vi måste komma ihåg att / proc inte är ett riktigt filsystem. Titta på din med root explorer - den är full av 0-byte-filer som skapas under körning och är designad för appar och programvara för att kommunicera med den körande kärnan. Det finns inga riktiga känsliga data lagrade där, och allt raderas och skrivs om när telefonen är strömcyklad. Om du är orolig för att någon kan hitta din kärnversion eller ett 16-siffrigt Android-ID har du fortfarande hinder för att få den informationen skickad någonstans utan uttryckliga Internet-behörigheter.
Vi är glada över att människor gräver i djupet för att hitta denna typ av problem, och även om dessa inte är kritiska av någon allvarlig definition, är det bra att göra Google medveten om dem. Forskare som gör denna typ av arbete kan bara göra saker säkrare och bättre för oss alla. Och vi måste betona att kamraterna i Leviathan inte talar undergång och dimma, de presenterar bara fakta på ett användbart sätt - undergång och dimma kommer från källor utanför.
Källa: Leviathan Security Group
![Skanna luftvågorna efter kryptiska ledtrådar i alt-frekvenser! [veckans Android-spel]](https://img.androidermagazine.com/img/games/944/scan-airwaves-cryptic-clues-alt-frequencies.jpg "Skanna luftvågorna efter kryptiska ledtrådar i alt-frekvenser! [veckans Android-spel]")
