Yang terbaru dalam kisah keamanan Android yang tidak pernah berakhir adalah keluar, dan kali ini berbicara tentang apa yang dapat diakses aplikasi jika tidak menyatakan izin. (Dengan kata lain, apa yang dapat dilihat oleh semua aplikasi jika tidak meminta aplikasi fungsi normal apa pun.) Beberapa orang menganggapnya sebagai hal yang tidak perlu dikhawatirkan, yang lain menggunakannya dalam pencarian mereka untuk merusak dunia. OS ponsel paling populer, tetapi kami menemukan hal terbaik untuk dilakukan adalah menjelaskan apa yang terjadi.
Sekelompok peneliti keamanan berangkat untuk membuat aplikasi yang menyatakan tidak ada izin untuk mencari tahu dengan pasti informasi apa yang bisa mereka dapatkan dari sistem Android yang digunakannya. Hal semacam ini dilakukan setiap hari, dan semakin populer targetnya, semakin banyak orang yang melihatnya. Kami sebenarnya ingin mereka melakukan hal semacam ini, dan dari waktu ke waktu orang menemukan hal-hal yang kritis dan perlu diperbaiki. Semua orang mendapat manfaat.
Kali ini, mereka menemukan bahwa aplikasi tanpa (seperti tidak ada, nada, zilch) dapat melakukan tiga hal yang sangat menarik. Tidak ada yang serius, tetapi semua layak dilihat sedikit. Kami akan mulai dengan kartu SD.
Aplikasi apa pun dapat membaca data pada kartu SD Anda. Selalu seperti ini, dan akan selalu seperti ini. (Menulis ke kartu SD adalah hal yang memerlukan izin.) Utilitas tersedia untuk membuat folder yang aman dan tersembunyi dan melindunginya dari aplikasi lain, tetapi secara default semua data yang ditulis ke kartu SD ada untuk dilihat oleh semua aplikasi. Ini dirancang, karena kami ingin komputer kami dapat mengakses semua data pada partisi yang dapat dibagikan (seperti kartu SD) ketika kami mencolokkannya. Versi Android yang lebih baru menggunakan metode partisi yang berbeda dan cara yang berbeda untuk berbagi data yang bergerak menjauh dari ini, tapi kemudian kita semua jalang menggunakan MTP. (Kecuali Anda Phil, tapi dia sedikit suka pada MTP.) Ini adalah perbaikan yang mudah - jangan letakkan data sensitif pada kartu SD Anda. Jangan gunakan aplikasi yang memasukkan data sensitif pada kartu SD Anda. Kemudian berhentilah mengkhawatirkan program yang dapat melihat data yang seharusnya dapat mereka lihat.
Hal berikutnya yang mereka temukan benar-benar menarik jika Anda seorang geek - dapat membaca file /data/system/packages.list tanpa izin eksplisit. Ini tidak menimbulkan ancaman sendiri, tetapi mengetahui aplikasi apa yang telah dipasang oleh pengguna adalah cara yang bagus untuk mengetahui eksploitasi apa yang mungkin berguna untuk membahayakan ponsel atau tablet mereka. Pikirkan kerentanan di aplikasi lain - contoh yang digunakan peneliti adalah Skype. Mengetahui bahwa ada exploit itu ada di sana berarti penyerang bisa mencoba menargetkannya. Perlu disebutkan bahwa menargetkan aplikasi tidak aman yang diketahui mungkin akan memerlukan beberapa izin untuk melakukannya. (Dan perlu juga diingatkan orang bahwa Skype dengan cepat mengakui dan memperbaiki masalah izinnya.)
Akhirnya, mereka menemukan bahwa direktori / proc memberikan sedikit data ketika ditanya. Contoh mereka menunjukkan bahwa mereka dapat membaca hal-hal seperti ID Android, versi kernel, dan versi ROM. Ada banyak lagi yang dapat ditemukan di direktori / proc, tetapi kita harus ingat bahwa / proc bukanlah sistem file yang nyata. Lihatlah milik Anda dengan root explorer - penuh dengan file 0-byte yang dibuat saat runtime, dan dirancang untuk aplikasi dan perangkat lunak untuk berkomunikasi dengan kernel yang sedang berjalan. Tidak ada data sensitif nyata yang disimpan di sana, dan semuanya terhapus dan ditulis ulang saat ponsel dialiri daya. Jika Anda khawatir seseorang mungkin dapat menemukan versi kernel Anda atau 16 digit ID Android, Anda masih memiliki rintangan untuk mendapatkan informasi yang dikirim ke mana saja tanpa izin Internet eksplisit.
Kami senang bahwa orang-orang menggali lebih dalam untuk menemukan masalah semacam ini, dan meskipun ini tidak kritis dengan definisi serius, ada baiknya membuat Google menyadarinya. Para peneliti yang melakukan pekerjaan semacam ini hanya dapat membuat segalanya lebih aman dan lebih baik bagi kita semua. Dan kita perlu menekankan poin bahwa orang-orang di Leviathan tidak berbicara malapetaka dan kesuraman, mereka hanya menyajikan fakta dengan cara yang bermanfaat - malapetaka dan kesuraman itu datang dari sumber luar.
Sumber: Grup Keamanan Leviathan
