Khi chúng tôi cài đặt ứng dụng, tôihoặc điều đầu tiên xuất hiện trước khi chúng tôi bắt đầu là sự cho phép mà chúng tôi phải nhận. Có những ứng dụng rất minh bạch trong phần này, và những ứng dụng khác không nhiều, và không chỉ họ có quyền truy cập vào micrô, mà, như nghiên cứu này từ Đại học Đông Bắc cho thấy năm ngoái, Họ cũng có thể kích hoạt camera điện thoại di động để chụp ảnh, quay videovà, như vụ bê bối phải chịu với ứng dụng LaLiga, Sử dụng GPS điện thoại di động để tìm hiểu chính xác bạn đang ở đâu.
Từ chối quyền đối với ứng dụng
Vì vậy, nếu chúng tôi từ chối cấp phép cho một ứng dụng, lý thuyết này không thể truy cập các khu vực thiết bị đầu cuối và hệ điều hành cho những người trong chúng ta nói không. Chúng tôi nhấn mạnh lý thuyết của anh ấy, bởi vì nó đã được tìm thấy rằng nó không, ít nhất là trên Android. Theo trang web CNET, một nghiên cứu được trình bày bởi ICSI (Viện tin học quốc tế) Tháng trước tại sự kiện PrivacyCon, nó đã được tiết lộ vào thời điểm này có nhiều hơn 1.000 ứng dụng Android vượt quá giới hạn áp dụng từ chối họ truy cập vào quyền trong khi cài đặt.
Báo cáo này phân biệt hai kỹ thuật khác nhau về việc tránh lấy giấy phép bị từ chối:
– Kênh song song: Kỹ thuật này cố gắng truy cập vào một số thông tin theo cách đó Nó không được bao phủ bởi các cơ chế bảo mật.. Ví dụ: chúng tôi có một ứng dụng có thể theo dõi vị trí của thiết bị bằng địa chỉ MAC này, một cái gì đó Android Pie chịu trách nhiệm dừng bằng cách nhập ngẫu nhiên địa chỉ MAC.
– kênh kín: Kỹ thuật này sử dụng hai dịch vụ làm việc cùng nhau để gửi dữ liệu dịch vụ có quyền truy cập hợp lệ vào các dịch vụ không có. Ví dụ: các ứng dụng đã được cấp quyền truy cập vào các vị trí thiết bị có thể chia sẻ dữ liệu định vị đó với các ứng dụng đã bị từ chối cùng một quyền.
Hơn 1.300 ứng dụng
Báo cáo ICSI để phân tích 88 133 ứng dụng phổ biến nhất Android Google Play Store từ Hoa Kỳ tôi đã tìm thấy nó nhiều hơn 1.300, bằng cách từ chối các quyền họ cần khi cài đặtTận dụng các kỹ thuật kênh song song hoặc đóng để bỏ qua bảo mật Android. Danh sách đầy đủ sẽ không được biết cho đến khi Hội nghị an ninh Usenix Tháng 8 tới, mặc dù thực tế là ICSI đã liên lạc với Google.
Trên thực tế, báo cáo đã được gửi tới Google trước khi được xuất bản. Và điều duy nhất gã khổng lồ mạng nói là tôiNhững thay đổi về bảo mật và quyền riêng tư đã được giới thiệu trong Android 10 Q tiếp theo sẽ khắc phục điểm yếu bảo mật này. Tất nhiên, nếu bạn có một điện thoại di động hoạt động với Android 9 Pie hoặc sớm hơn, về cơ bản Google không thể làm gì để ngăn ứng dụng này lẻn vào. Chà, tôi thường bị kích động …
