Android: Apps können ohne Berechtigung auf sensible Information zugreifen
Apps können zum Beispiel auf Dateien auf der SD-Karte zugreifen. Zudem können sie herausfinden, welche Apps auf einem Gerät installiert sind und deren Verzeichnisse durchsuchen. Sicherheitsforscher Paul Brodeur hat dafür eine Proof-of-Concept-App geschrieben.
Dem Anschein nach können Android-Apps, die dafür keine Berechtigung haben, trotzdem auf sensible Informationen zugreifen. Das hat Sicherheitsforscher Paul Brodeur von der Leviathan Security Group herausgefunden. Er hat auch eine Proof-of-Concept-App dafür geschrieben. Wie er in einem Blogeintrag erläutert, haben “No Permissions”-Anwendungen immer noch Zugang zur SD-Karte, den Identifikationsdaten des Geräts sowie Daten, die von anderen Apps abgespeichert werden.
Brodeur zufolge hat jede App zumindest einen Read-only-Zugriff auf den externen Speicher. Seine Anwendung “No Permissions” scannt das Verzeichnis /sdcard und liefert eine Liste aller nicht versteckten Dateien auf der SD-Karte – etwa von Fotos, Backups und externen Konfigurationsdateien. So fand der Sicherheitsforscher heraus, dass auf seinem eigenen Gerät OpenVPN-Zertifikate auf der SD-Karte abgepeichert waren.
“Obwohl es möglich ist, die Inhalte aller dieser Dateien abzugreifen, überlasse ich es jemand anderem, zu entscheiden, welche es sich zu schnappen lohnt und welche langweilig sind”, schreibt Brodeur. Es sei erwähnenswert, dass laut den Android-Entwickler-Dokumenten keine Sicherheitsmaßnahmen für externe Speicher gebe, aber dennoch so viele Dateien dort abgelegt würden.
Auch die Datei /data/system/packages.list lässt sich mit Brodeurs Proof-of-Concept abgreifen, um herauszufinden, welche Anwendungen auf dem Gerät installiert sind. Im nächsten Schritt durchsuchte Brodeur die Verzeichnisse, um herauszufinden, welche Informationen darin enthalten sind. Er sei so in der Lage gewesen, Dateien auszulesen, die zu anderen Anwendungen gehören. Diese Funktion könne zum Beispiel verwendet werden, um Apps mit schwachen Zugriffsberechtigungen zu finden, die leicht angreifbar sind, erklärte Brodeur.
Schließlich kann Brodeurs Anwendung auch die Geräteidentifikation aulesen. Ohne die Erlaubnis PHONE_STATE lässt sich zwar weder IMEI noch IMSI abgreifen, wohl aber die Informationen über den GSM- und SIM-Anbieter.
“Obwohl diese Anwendung Buttons nutzt, um die drei beschriebenen Aktionen auszuführen, ist es banal für jegliche installierte App, sie auch ohne Interaktion des Nutzers auszuführen”, schreibt Brodeur. Er hat seine Proof-of-Concept-App nach eigenen Angaben unter Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread getestet.
[mit Material von Steven Musil, News.com]