Technologische Neuigkeiten, Bewertungen und Tipps!

Über 1.000 Android-Apps auf Google Play haben ohne Autorisierung auf Benutzerdaten zugegriffen

Das Team des International Computer Science Institute (ICSI) analysierte 88.113 Android-Apps auf Google Play in den USA. und was er entdeckte, war beängstigend. Mehr als 1.000 Anwendungen und Bibliotheken von Drittanbietern verwenden Seitenkanäle und / oder versteckte Kanäle, um Android-Sicherheitsmaßnahmen zu vermeiden. Ziel ist es, auf die Standortdaten und persistenten "Gerätekennungen" der Benutzer zuzugreifen.

Sein vollständiger Datensatz bestand aus 252.864 APKs, als das Team den Play Store regelmäßig auf neue Versionen der 88.113 Anwendungen überprüfte, deren Analyse sie planten. Zunächst testeten sie das Verhalten jeder Anwendung auf einem Google Nexus 5X mit Android 6.0.1 Marshmallow. Dann haben sie ihre Ergebnisse in einem Google Pixel 2 mit Android Pie erneut getestet, um zu beweisen, dass sie zum Zeitpunkt der Veröffentlichung noch gültig waren.

Android Apps auf Google Play wurden ausgesetzt

Mit diesem Datensatz entwickelte das Team eine Methode, die mithilfe dynamischer und statischer Analysen eine Umgehung des Android-Berechtigungsmodells erkennt. Mit anderen Worten, das Team untersuchte das Verhalten der Anwendung, indem es das Laufzeitverhalten der Anwendung überprüfte (dynamische Analyse). Scannen Sie den Code auch auf potenziell böswilliges Verhalten (statische Analyse). Natürlich kennen böswillige Anwendungsentwickler diese Techniken unter Verwendung von Codeverschleierung und dynamischem Code. Daher verwendete das ICSI-Team bei seinen Tests eine Kombination aus statischer und dynamischer Analyse (Hybridanalyse).

Von Android-Apps verletzte Daten

Über 1.000 Android-Apps auf Google Play haben ohne Autorisierung auf Benutzerdaten zugegriffen

Infolgedessen stellte das Team bei seinen Tests fest, dass Anwendungen, die nicht über die erforderlichen Berechtigungen verfügen, über die folgenden Daten verfügen:

  • IMEI: Da eine IMEI eine eindeutige und dauerhafte Kennung ist, ist sie für Onlinedienste hilfreich, damit sie Mobiltelefone einzeln nachverfolgen können. Das Team stellte fest, dass die SDKs Salmonads und Baidu einen versteckten Kanal zum Lesen der IMEI verwendeten. Anwendungen mit legitimem Zugriff auf die IMEI haben versteckte Dateien in dem externen Speicher gespeichert, den die Geräte-IMEI enthält, damit andere Anwendungen ohne legitimen Zugriff die IMEI lesen können. Identifizierte Anwendungen, die das Baidu SDK auf diese Weise verwenden, umfassen Anwendungen aus Disney-Themenparks für Hongkong und Shanghai, Samsung Health und Samsung Browser.
  • MAC-Adresse des Netzwerks: Die MAC-Adresse des Netzwerks ist ebenfalls eine eindeutige Kennung und wird im Allgemeinen durch die Berechtigung ACCESS_NETWORK_STATE geschützt. Den Forschern zufolge verwendeten die Anwendungen den nativen C ++ – Code, um "mehrere UNIX-Systemaufrufe ohne Überwachung aufzurufen". Das Team identifizierte 42 Anwendungen, die das Unity SDK zum Öffnen eines Netzwerksockets und ein ioctl zum Abrufen der MAC-Adresse verwenden. obwohl sie darauf hinwiesen, dass von den 12.408 Anwendungen 748 den fraglichen Code enthielten und die ACCESS_NETWORK_STATE-Berechtigung fehlte.
  • MAC-Adresse des Routers: Die ACCESS_WIFI_STATE-Berechtigung schützt die BSSID, aber das Lesen des ARP-Cache in / proc / net / arp ermöglicht einer Anwendung, diese Daten abzurufen, ohne dass eine Berechtigung erforderlich ist. Der Forscher identifizierte das OpenX SDK als Seitenkanal-Technik.
  • Geolocation: Die Forscher stellten fest, dass die Shutterfly-Anwendung auf die Standort-Tags der EXIF-Metadaten der Fotos zugreift. Erforderlich ist lediglich die Berechtigung READ_EXTERNAL_STORAGE.

Und Android Q?

In Android Q erfordert Google jetzt, dass Anwendungen über die Berechtigung READ_PRIVILEGED_PHONE_STATE verfügen, um die IMEI zu lesen. Mobiltelefone mit Android Q übertragen jetzt standardmäßig zufällige MAC-Adressen. Schließlich verringern Änderungen im Bereich Speicher im Bereich Android Q die Fähigkeit von Anwendungen, Standortdaten von Fotos zu lesen. Aus diesem Grund wurden diese Bedenken in der neuesten Version von Android berücksichtigt. Wie wir alle wissen, wird es lange dauern, bis sich das neueste Update verbreitet.

Insgesamt bietet diese Studie einen anschaulichen Überblick darüber, wie einige Anwendungen auf die Daten zugreifen, die hinter Berechtigungen geschützt werden müssen. Die Untersuchung analysierte nur eine Teilmenge der von Google als "gefährlich" bezeichneten Berechtigungen, insbesondere das Auslassen von Berechtigungen wie Bluetooth, Kontakten und SMS. Für alle Einzelheiten dieses Berichts empfehle ich, das der FTC übermittelte Dokument zu lesen.

🙂

Table of Contents