Виробничі модифікації Android відкривають витоки безпеки, – дослідження

Дослідники з Університету штату Північна Кароліна виявили вразливість у низці провідних телефонів на базі ОС Android, яка може дозволити хакерам отримати доступ до приватних даних без необхідності отримувати явний дозвіл користувача. Згідно з дослідженням, така лазівка може дати зловмисникам можливість “знищувати дані користувача, розсилати SMS-повідомлення або записувати розмови користувачів на уражених телефонах – і все це без запиту будь-якого дозволу”.

На відміну від додатків для iOS, які попереджають користувача щоразу, коли програма хоче отримати доступ до певної особистої інформації, наприклад, місцезнаходження, додатки для Android використовують систему безпеки, засновану на дозволах, яка заздалегідь повідомляє користувачеві, до якого типу інформації програмі може знадобитися доступ в певний момент. Після цього користувачі можуть вирішити, чи хочуть вони встановлювати додаток, виходячи з наданих дозволів.

Дослідження НКРЗІ показує, що модифікація Android деякими виробниками телефонів створює діру в інфраструктурі дозволів, що може дозволити хакерам отримати доступ до конфіденційної приватної інформації або виконувати функції на телефоні, навіть якщо додаток не запитує дозволу на виконання цих дій.

• Цей безкоштовний додаток для Android надав моєму телефону надздібності до клонування
• Apple проти Samsung: У кого буде найкраща кастомізація екрану блокування у 2022 році?
• П’ять способів, як Android 13 покращив мій досвід роботи з Galaxy S22

“Ці функції є стандартними і роблять телефон більш зручним для користувача”, – сказав Сюсянь Цзян, доцент кафедри інформатики в NCSU. “Вони роблять телефони більш зручними у використанні, але також більш зручними для зловживань”.

Використовуючи свій інструмент діагностики “Woodpecker”, який перевіряє, чи може додаток виконувати функцію, на яку у нього немає дозволу, дослідники виявили, що найбільш вразливими є наступні пристрої: HTC Evo 4G, HTC Wildfire S, HTC Legend, Motoroal Droid і Droid X, Samsung Epic 4G, Google Nexus One і Nexus S. Google і Motorola відповіли дослідникам, підтвердивши своє відкриття. Samsung і HTC, однак, створили команді “великі труднощі”.

Незважаючи на свої висновки, дослідники кажуть, що виробників не обов’язково слід засуджувати за те, що вони використовують ці лазівки. Крім того, вони кажуть, що ще не все втрачено з системою дозволів в Android.

“Хоча можна легко звинуватити виробників у розробці та/або включенні цих вразливих додатків у прошивку телефону, не потрібно перебільшувати їхню недбалість”, – пише команда дослідників у своєму дослідженні. “Зокрема, модель безпеки на основі дозволів в Android – це модель можливостей, яку можна вдосконалити, щоб зменшити ці витоки можливостей”.

З повним текстом дослідження можна ознайомитися тут (pdf).

Рекомендації редакції

• Як швидко та легко записати телефонні розмови на iPhone
• Sunbird виглядає як додаток iMessage для Android, на який ви так довго чекали
• Як налаштувати та використовувати Hive Social як наступну заміну Twitter
• Не оновлюйте свій Galaxy Watch 4, інакше ви можете випадково вбити його
• Найкращі додатки для сканування QR-кодів для Android та iOS у 2022 році

Source: digitaltrends.com