Android gibt Apps ohne Berechtigung Zugriff auf sensible Informationen
Dem Anschein nach können Android -Apps, die keinerlei Berechtigungen haben, trotzdem auf sensible Informationen zugreifen. Das hat Sicherheitsforscher Paul Brodeur von der Leviathan Security Group herausgefunden und eine Proof-of-Concept-App geschrieben. Wie er in einem Blogeintrag erläutert, haben „No Permissions“-Anwendungen immer noch Zugang zur SD-Karte, den Identifikationsdaten des Geräts sowie Daten, die von anderen Apps abgespeichert werden.
Brodeur zufolge hat jede App zumindest einen Read-only-Zugriff auf den externen Speicher. Seine Anwendung „No Permissions“ scannt das Verzeichnis /sdcard und liefert eine Liste aller nicht versteckten Dateien auf der SD-Karte – etwa von Fotos, Backups und externen Konfigurationsdateien. So fand der Sicherheitsforscher heraus, dass auf seinem eigenen Gerät OpenVPN-Zertifikate auf der SD-Karte abgepeichert waren.
„Obwohl es möglich ist, die Inhalte aller dieser Dateien abzugreifen, überlasse ich es jemand anderem, zu entscheiden, welche es sich zu schnappen lohnt und welche langweilig sind“, schreibt Brodeur. Es sei erwähnenswert, dass laut den Android-Entwickler-Dokumenten keine Sicherheitsmaßnahmen für externe Speicher gebe, aber dennoch so viele Dateien dort abgelegt würden.
Auch die Datei /data/system/packages.list lässt sich mit Brodeurs Proof-of-Concept abgreifen, um herauszufinden, welche Anwendungen zur Zeit auf dem Gerät installiert sind. Im nächsten Schritt durchsuchte Brodeur die Verzeichnisse, um herauszufinden, welche sensiblen Informationen darin enthalten sind. Er war nach eigenen Angaben in der Lage, Dateien auszulesen, die zu anderen Anwendungen gehörten. Diese Funktion könne dazu verwendet werden, Apps zu finden, die schwache Zugriffsberechtigungen hätten und dadurch angreifbar seien, erklärte Brodeur – „wie die, die vergangenes Jahr in Skype gefunden wurden“.
Zuletzt war Brodeurs Anwendung in der Lage, die Geräteidentifikation auzulesen. Ohne die Erlaubnis PHONE_STATE lässt sich zwar weder IMEI noch IMSI abgreifen, wohl aber die Informationen über den GSM- und SIM-Anbieter.
„Obwohl diese Anwendung Buttons nutzt, um die drei beschriebenen Aktionen auszuführen, ist es banal für jegliche installierte App, sie auch ohne Interaktion des Nutzers auszuführen“, schreibt Brodeur. Er hat seine Proof-of-Concept-App nach eigenen Angaben unter Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread getestet.
[mit Material von Steven Musil, News.com ]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.