Faktum är att Googles rättighetshantering måste förhindra att appar för Android samlar in data utan deras användares samtycke. Men forskare har hittat cirka 1 300 populära applikationer som inte accepterar att “nej” verkligen betyder “nej.”
Forskare International Computer Science Institute undersöker cirka 88 000 Android-applikationer och publicerar resultaten (PDF). Det analyseras i en kontrollerad miljö vilken applikation måste skicka data till och om den ska ha denna information enligt rättighetshanteringsarrangemang.
Förfarande och resultat
Forskarna kontrollerade om IMEI, MAC-adress eller plats överfördes. Någon av denna information gör det möjligt att identifiera ägaren som en individ och därmed förfölja dem bättre. För att undvika rättighetshantering är två metoder genomförbara. Program antingen kringgår säkerhetspolicyer genom att hitta scenarier som inte täcker eller skyddar rättighetshantering (Sidokanaler), eller så får de hemligt information från applikationer som har de nödvändiga rättigheterna (Covert Channels).
Totalt fångades endast 60 ansökningar med rödhänt, men cirka 15 procent eller nästan 13 000 applikationer hittade sätt att kringgå säkerhetspolicyn i koden och kunde användas, men antingen hade de nödvändiga rättigheterna eller utlöste inte forskarnas automatiska fällor. . Denna kategori inkluderar Samsung-hälsoprogram och företagswebbläsare. Cirka 1 300 applikationer kan dock samla in och överföra data utan nödvändiga rättigheter.
Smart snooping
Sidokanalsamlaren inkluderar Shutterfly. Leverantörsapplikationen hittar platsen för ägaren genom att läsa EXIF-geodata från bilden. Den kinesiska utvecklarplattformen Salmonads använder dolda alternativ för att få data. Program som utvecklats med SDK kan lagra IMEI, kampanj-ID och MAC-adresser på SD-kortet. Där kan de läsas av alla andra applikationer, som också har tillgång till mobilminne.
Samma teknik använder Baidu. Företaget matades bland annat av Disney Disneyland App i Hong Kong. Tjugo applikationer som tar emot data på detta sätt har laddats ner mer än 700 miljoner gånger. På samma sätt uppnås hög penetration av andra SDK: er som använder data; MAC-adresser överförs aktivt under testning av applikationen, som tillsammans ger upp till 3,6 miljarder installationer (inte nödvändigtvis aktiva). Rättighetshantering kringgås, till exempel, av OpenX SDK, en annonsleverantör, förstört efter att systemet har nekat åtkomst till den begärda informationen eftersom användaren inte har gett rättigheter. För en komplett lista med applikationer vill forskarna publicera vid Usenix Security Conference i augusti.
Q står för “Qure”
Uppförandet av sådana applikationer är mycket problematiskt eftersom det skadar rättighetshantering och de facto gör det värdelöst eftersom applikationen inte längre behöver begära rättigheter eller ignorera beslut. Rättighetshantering rekommenderar endast kontroll i sådana fall. Enligt lag är detta förfarande kritiskt, det skulle strida bland annat med europeiska bestämmelser om dataskydd.
Google gjorde forskare medvetna om gapet i höstas. Healing ger bara den första Android Q, som förväntas släppas senare i år. Men det är inte slutet på utdelningen. Åtminstone i teorin har ett annat sätt beskrivits hur applikationer kan kommunicera med varandra. Det kan tänkas att utvecklare använder externa servrar eller specifikt producerar korta toppbelastningar som kan tolkas som binär kod. Vibrations- och accelerationssensorer kan också missbrukas i teorin för detta ändamål.
