Безопасность: что ждать от приложений без прав доступа?

О безопасности в Android уже было сказано довольно много. По большому счёту всё сводится к тому, что если вы опытный пользователь этой ОС или же вообще современных девайсов в принципе, то вряд ли вы попадётесь на какие-то угрозы, так как серьезный вирус под Android сложно забросить к вам на телефон, если вы сами тому не поспособствуете. Но и на старуху бывает проруха.

Можно, конечно, пристально следить за всеми устанавливаемыми приложениями, утверждать, что антивирусные компании сами пишут вирусы или что под Android их нет в принципе, а потому антивирусы не нужны, но и в этом случае остаётся небольшой шанс, что вы столкнётесь с проблемами. А что бы вы сделали, если бы приложение не просило вообще никаких полномочий при установке? Или, если бы просило что-то нейтральное?

Группа энтузиастов решила проверить на что в Android способно приложение, которое при установке не просит совсем никаких полномочий в системе у пользователя. Эксперимент вышел занятным и дал неожиданные результаты.

Выяснилось, что подобное приложение может делать минимум три вещи. Ничего серьезного, но совсем не придавать им значения всё же нельзя.

Такое приложение может запросто считывать данные с карты памяти вашего устройства. Так было в Android всегда. А вот уже запись на карту памяти требует разрешения. То есть создавать папки и файлы могут не все приложения, зато любое может получить доступ к тому, что было создано. Правда, это касается только лишь данных на карте памяти. А потому, если вы сильно заботитесь о безопасности, то не стоит на sd-карту скидывать что-то секретное во избежание различных недоразумений.

Следующая возможность также интересна, хотя вроде и бы не слишком опасна. Приложения без полномочий могут читать данные из /data/system/packages.list, что даёт возможность получить информацию о списке установленного софта, а значит сделать выводы о том, какие можно использовать эксплоиты, чтобы поразить конкретное устройство. Правда, чтобы использовать эти эксплоиты, возможно, всё равно как-то заставить жертву установить приложение, которое будет требовать какие-то определённые пермишенны.

Третья возможность сродни второй: чтение папки /proc, откуда можно получить некоторую информацию о системе: Android ID, версию ядра, прошивки и т.д. И хотя, информация, полученная таким образом, казалось бы, вполне безвредна, но для дальнейших выводов и планирования атак её использовать можно.

Как видно, полномочий и приложений без полномочий не так уж много, но даже так можно собрать определённую информацию о пользователе устройства для дальнейшего анализа. А потому не стоит слепо верить в своё могущество и абсолютную непробиваемость системы. От вирусов и мошенников нас спасёт только накопленный опыт.

You may also like...

13 комментариев

  1. kirill:

    Так то да, но если есть рут, то приложение без пермишенов, рз запрасив доступ к руту может очень многое, поэтому за тем, кому давать права рута надо следить очень серьезно.

  2. grigorij:

    > Такое приложение может запросто считывать данные с карты памяти вашего устройства.Ну прочитать-то прочитает, только вот хрен куда отправит без android.permission.INTERNET ;)Приложение без прав доступа всё равно не может совершить никаких активных действий, а значит, и системе не навредит в любом случае.

  3. konstant:

    Григорий, только вот у большинства приложений есть полное разрешение к доступу в интернет, отчасти это связано с тем, что в них есть реклама =)

  4. kirill:

    Так то да, но если есть рут, то приложение без пермишенов, рз запрасив доступ к руту может очень многое, поэтому за тем, кому давать права рута надо следить очень серьезно.

  5. sergej:

    Всегда смотрел и буду смотреть какие права требует приложение.

  6. grigorij:

    > Такое приложение может запросто считывать данные с карты памяти вашего устройства.Ну прочитать-то прочитает, только вот хрен куда отправит без android.permission.INTERNET ;)Приложение без прав доступа всё равно не может совершить никаких активных действий, а значит, и системе не навредит в любом случае.

  7. konstant:

    Григорий, только вот у большинства приложений есть полное разрешение к доступу в интернет, отчасти это связано с тем, что в них есть реклама =)

  8. sergej:

    Всегда смотрел и буду смотреть какие права требует приложение.

  9. timur:

    никогда не смотрю на права доступа, так как у любой программы их может быть куча.интернет для рекламмы, смс чтобы «рассказать другу» и т.д.

  10. roman:

    Еще такой момент — как раз начиная с 4.1. требуется пермишн на чтение карты

  11. timur:

    никогда не смотрю на права доступа, так как у любой программы их может быть куча.интернет для рекламмы, смс чтобы «рассказать другу» и т.д.

  12. jan:

    ну и где уязвимое место его нет ведь нет разрешения интернет

  13. roman:

    Еще такой момент — как раз начиная с 4.1. требуется пермишн на чтение карты

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Яндекс.Метрика