Опитните Android потребители са склонни да бъдат предпазливи при инсталиране на приложения, които изискват привидно ненужни права. Когато дадено приложение изисква достъп до данни или функции на телефона като например списък с контактите или възможност за изпращане на текстови съобщения, това може да означава потенциални рискове за сигурността или скрит зловреден софтуер.
Android приложения, които не изискват никакви права (като например популярното Magic 8 ball) е прието да се смятат за лишени от рискове за сигурността.
Дали обаче това наистина е така?
По-рано този месец, тест, проведен от Leviathan Security Group демонстрира, че дори неизсикващите никакви права Android приложения могат да имат достъп до потенциално поверителни данни във вашия телефон - и да предават тези данни другаде чрез уеб браузъра на вашия телефон.
Специално за да докаже това, Пол Бродьор от Leviathan създава тестово приложение, което не изисква никакви права и го инсталира върху няколко устройства с Android. В крайна сметка той е в състояние да сканира картата с памет на телефона и да покаже списък на всички не-скрити файлове на нея.
"Въпреки че е възможно да се извлече съдържанието на всички тези файлове, ще оставя други да преценяват кои файлове си заслужава да бъдат взети и кои ще бъдат пълна скука," пише той.
Ако знаете какво да търсите, чрез такова приложение ще откриете всичко
Освен това, той е могъл да види кои приложения са инсталирани на телефона и да получи списък на някои файлове, свързани с тези приложения. По негови наблюдения, това може да позволи на злонамерени хора да откриват и използват свързани с права уязвимости в конкретни приложения. Миналата година например, Skype за Android имаше подобен проблем, но от фирмата бързо го отстраниха.
За телефоните, които функционират в GSM мобилни мрежи (каквито се използват в почти цяла Европа), тестовото приложение е могло да чете идентифицираща информация за телефона от SIM картата, както и различни други данни.
И накрая, доколкото приложенията без права все пак могат да стартират браузъра на телефона, това осигурява потенциален начин да се предадат данни от устройството навън.
Информацията ви може да бъде прехвърлена онлайн, без дори да усетите
Въпреки че тестовото приложение на Бродьор е било проектирано специално с идеята да търси подобни пропуски в сигурността, "не е сложно което и да било инсталирано приложение да изпълнява тези действия без каквато и да е намеса от страна на потребителя," констатира той.
Това може и да звучи притеснително, но не изпадайте в паника. Откритите от Leviathan пропуски в сигурността би трябвало да бъдат по-скоро грижа на авторите на приложения за Android и самите Google, от колкото на крайните потребители, служещи си със смартфони и таблети с Android.
"Това, което е открило изследването, са само малки пукнатини в защитата на Android - а не гигантски ями в сигурността, през които можете да минете с танк," казва Кевин Махейфи, съосновател и технологичен директор на Lookout Mobile Security, водещ доставчик на приложения за сигурност и услуги за защита на Android устройства. "Този вид проучвания са ценни, защото в крайна сметка ще направят Android по-защитен".
Най-голямата опасност са приложенията, съхраняващи данни в некодиран вид
Според Махейфи по-мащабният проблем не е, че хората могат злонамерено да се възползват от тези пролуки в сигурността, за да откраднат информация от потребителите или да поемат контрол над телефоните им, а че много автори на приложения са "небрежни".
Не е рядкост например разработчиците да пишат приложения, съхраняващи потребителски данни (като например потребителски имена и пароли) по начин, който ги прави леснодостъпни чрез откритите от Leviathan пропуски в сигурността. Или пък приложението би могло да отвори браузъра на телефона, за да постигне функционалност, която би могла да бъде реализирана по друг начин.
Преди време TheVerge.com откриха, че фотогалерията, която се доставя предварително инсталирана върху телефони с Android на Samsung, LG и други производители, съхранява некодирани копия на пълните адреси, свързани със снимките. Те откриха в абсолютно незащитен файл "списък с локации, съответстващ на адресите на вашия дом, офис, семейна къща, близки, интимни партньори, приятели и дори места за почивка."
Това не са били GPS координати, а точни и пълни адреси: държава, град, пощенски код, улица, номер. TheVerge отбелязват, че тези адресни данни изглежда са били генерирани от Picasa Web Albums. Google погълнаха Picasa през 2004 г.
"Няма причина приложението да съхранява кеширани местоположения на лични снимки в абсолютно некодиран вид," пише Арън Супурис за The Verge. "Това е информация, които ние никога не бихме дали на Google - нито по телефон, нито в Picasa. Още по-лошото е, че синхронизацията с Picasa Web Albums е била изключена поне седмица преди откриването на тази информация."