Android: Kolejne badanie podważa efektywność uprawnień. Aplikacje i tak wyciągną dane
Aplikacja na Androida wysyła żądanie dostępu do danych zasobów, które użytkownik ostatecznie odrzuca. Teoria nakazuje sądzić, że jest tym samym bezpieczny. Badacze mają inne zdanie.
W publikacji o wyjątkowo jednoznacznym tytule 50 sposobów na wyciek danych możemy przeczytać, że androidowy system uprawnień to tylko iluzja bezpieczeństwa. Podpisuje się pod tym grupa kilkunastu ekspertów z renomowanych placówek badawczych, takich jak Uniwersytet w Calgary, Uniwersytet Karola III w Madrycie czy Uniwersytet Kalifornijski w Berkeley. 26 września na konferencji Usenix Security '19 temat wziął pod lupę Joel Reardon, jeden z autorów pracy.
Jak twierdzi, nie ma większego problemu, aby szkodliwa apka bez wiedzy użytkownika zdobyła chociażby możliwość wykonywania połączeń albo wysyłania wiadomości tekstowych.
Nie jedna luka, ale całe zatrzęsienie
Co gorsza, ponoć nie chodzi wcale o jedną sprecyzowaną dziurę, a całe zatrzęsienie błędów bezpieczeństwa zarówno w samym systemie Android, jak i kilku popularnych zestawach narzędzi dla programistów (SDK). Nie da się więc sprecyzować najbardziej prawdopodobnego wektora ataku, a co za tym idzie mocno utrudniona jest obrona przed ewentualnym cyberprzestępcą.
USENIX Security '19 - 50 Ways to Leak Your Data: An Exploration of Apps'
Badacz wyjaśnia, że w wyniku niewłaściwego działania instrukcji systemowych kontrolujących uprawnienia można uzyskać dostęp do wrażliwych podsystemów kanałem bocznym. Opisuje też atak oparty na dziedziczeniu uprawnień przez apki napisane w tym samym SDK, zwracając szczególną uwagę na narzędzia Salamonads, Baidu Maps SDK i OpenX SDK. Łącznie korzysta z nich kilka milionów aplikacji i każda stanowi potencjalne zagrożenie.
Mówiąc wprost, wystarczy przyznać uprawnienia jednej tylko aplikacji, a druga korzystająca z tego samego SDK przejmie przywileje poprzez utworzone uprzednio pliki.
IMEI i adres MAC jak na dłoni
Równie łatwo i oczywiście także bez wiedzy użytkownika odbywa się pobieranie danych o urządzeniu, w tym m.in. numeru IMEI i adresu MAC karty sieciowej. Aplikacje napisane z użyciem SDK Baidu przechowują IMEI w pamięci masowej urządzenia jako plik kodowany w formacie Base64. Odczyt to formalność, z czego – jak ujawniono – korzysta nawet Disney. Popularne Unity natomiast przesyła zahaszowany adres MAC w jednym z wywołań systemowych, traktując go jako unikatowy identyfikator urządzenia. Ponownie – odczyt zawartości to formalność.
Podobno nieco lepiej sytuacja wygląda dopiero w Androidzie 10, ale z tego korzysta zaledwie promil użytkowników. Na ten moment, będąc bardzo podejrzliwym, każdą apkę należałoby traktować jako możliwe zagrożenie. Oczywiście nie zachęcam nikogo do popadania w paranoję. Niemniej daje to do myślenia. Bardziej niż w jakość zabezpieczeń trzeba wierzyć w uczciwość twórców.