Android: Kolejne badanie podważa efektywność uprawnień. Aplikacje i tak wyciągną dane

Aplikacja na Androida wysyła żądanie dostępu do danych zasobów, które użytkownik ostatecznie odrzuca. Teoria nakazuje sądzić, że jest tym samym bezpieczny. Badacze mają inne zdanie.

W publikacji o wyjątkowo jednoznacznym tytule 50 sposobów na wyciek danych możemy przeczytać, że androidowy system uprawnień to tylko iluzja bezpieczeństwa. Podpisuje się pod tym grupa kilkunastu ekspertów z renomowanych placówek badawczych, takich jak Uniwersytet w Calgary, Uniwersytet Karola III w Madrycie czy Uniwersytet Kalifornijski w Berkeley. 26 września na konferencji Usenix Security '19 temat wziął pod lupę Joel Reardon, jeden z autorów pracy.

Jak twierdzi, nie ma większego problemu, aby szkodliwa apka bez wiedzy użytkownika zdobyła chociażby możliwość wykonywania połączeń albo wysyłania wiadomości tekstowych.

Co gorsza, ponoć nie chodzi wcale o jedną sprecyzowaną dziurę, a całe zatrzęsienie błędów bezpieczeństwa zarówno w samym systemie Android, jak i kilku popularnych zestawach narzędzi dla programistów (SDK). Nie da się więc sprecyzować najbardziej prawdopodobnego wektora ataku, a co za tym idzie mocno utrudniona jest obrona przed ewentualnym cyberprzestępcą.

Badacz wyjaśnia, że w wyniku niewłaściwego działania instrukcji systemowych kontrolujących uprawnienia można uzyskać dostęp do wrażliwych podsystemów kanałem bocznym. Opisuje też atak oparty na dziedziczeniu uprawnień przez apki napisane w tym samym SDK, zwracając szczególną uwagę na narzędzia Salamonads, Baidu Maps SDK i OpenX SDK. Łącznie korzysta z nich kilka milionów aplikacji i każda stanowi potencjalne zagrożenie.

Mówiąc wprost, wystarczy przyznać uprawnienia jednej tylko aplikacji, a druga korzystająca z tego samego SDK przejmie przywileje poprzez utworzone uprzednio pliki.

Równie łatwo i oczywiście także bez wiedzy użytkownika odbywa się pobieranie danych o urządzeniu, w tym m.in. numeru IMEI i adresu MAC karty sieciowej. Aplikacje napisane z użyciem SDK Baidu przechowują IMEI w pamięci masowej urządzenia jako plik kodowany w formacie Base64. Odczyt to formalność, z czego – jak ujawniono – korzysta nawet Disney. Popularne Unity natomiast przesyła zahaszowany adres MAC w jednym z wywołań systemowych, traktując go jako unikatowy identyfikator urządzenia. Ponownie – odczyt zawartości to formalność.

Podobno nieco lepiej sytuacja wygląda dopiero w Androidzie 10, ale z tego korzysta zaledwie promil użytkowników. Na ten moment, będąc bardzo podejrzliwym, każdą apkę należałoby traktować jako możliwe zagrożenie. Oczywiście nie zachęcam nikogo do popadania w paranoję. Niemniej daje to do myślenia. Bardziej niż w jakość zabezpieczeń trzeba wierzyć w uczciwość twórców.