Sửa đổi Android của nhà sản xuất mở rò rỉ bảo mật, chương trình nghiên cứu - Android - 2019

Anonim

Các nhà nghiên cứu tại Đại học bang North Carolina đã phát hiện ra một lỗ hổng với một số thiết bị cầm tay Android hàng đầu có thể cho phép tin tặc truy cập dữ liệu cá nhân mà không cần phải có sự cho phép rõ ràng của người dùng. Theo nghiên cứu, lỗ hổng này có thể cho các tin tặc độc hại có khả năng "xóa sạch dữ liệu người dùng, gửi tin nhắn SMS hoặc ghi lại cuộc trò chuyện của người dùng trên điện thoại bị ảnh hưởng - tất cả mà không yêu cầu bất kỳ sự cho phép nào."

Không giống như ứng dụng dành cho iOS, ứng dụng này cảnh báo người dùng bất cứ khi nào ứng dụng muốn truy cập một số loại thông tin cá nhân, như vị trí, ứng dụng Android sử dụng hệ thống bảo mật dựa trên quyền, cho người dùng biết trước loại thông tin mà ứng dụng có thể tại một số điểm cần truy cập. Sau đó, người dùng có thể quyết định có muốn cài đặt ứng dụng hay không dựa trên các quyền được cấp.

Nghiên cứu của NCSU cho thấy việc sửa đổi Android của một số nhà sản xuất thiết bị cầm tay tạo ra một lỗ hổng trong cơ sở hạ tầng cho phép, cho phép tin tặc truy cập thông tin cá nhân nhạy cảm hoặc thực hiện các chức năng trên điện thoại, ngay cả khi ứng dụng không yêu cầu quyền thực hiện một cách rõ ràng các hoạt động này.

"Các tính năng này là tiêu chuẩn và làm cho điện thoại thân thiện với người dùng hơn", Xuxian Jiang, trợ lý giáo sư về khoa học máy tính tại NCSU cho biết. "Họ làm cho các điện thoại thuận tiện hơn để sử dụng, nhưng cũng thuận tiện hơn để lạm dụng."

Sử dụng công cụ chẩn đoán “Woodpecker” của họ, kiểm tra xem ứng dụng có thể thực hiện chức năng mà nó không có quyền không, các nhà nghiên cứu nhận thấy các thiết bị sau dễ bị tổn thương nhất: HTC Evo 4G, HTC Wildfire S, HTC Legend, Motoroal Droid và Droid X, Samsung Epic 4G, Google Nexus One và Nexus S. Cả Google và Motorola đều đã trả lời các nhà nghiên cứu, xác nhận sự khám phá của họ. Tuy nhiên, Samsung và HTC đã cho nhóm “những khó khăn lớn”.

Mặc dù phát hiện của họ, các nhà nghiên cứu nói rằng các nhà sản xuất không nhất thiết phải bị lên án vì đã bao gồm những sơ hở này. Ngoài ra, họ nói rằng tất cả không bị mất với hệ thống dựa trên quyền của Android.

"Mặc dù người ta có thể dễ dàng đổ lỗi cho các nhà sản xuất để phát triển và / hoặc bao gồm các ứng dụng dễ bị tấn công này trên phần mềm điện thoại, không cần phải phóng đại sự sơ suất của họ", nhóm nghiên cứu viết trong nghiên cứu. “Cụ thể, mô hình bảo mật dựa trên quyền trong Android là một mô hình khả năng có thể được tăng cường để giảm thiểu những rò rỉ khả năng này”.

Đọc toàn bộ nghiên cứu ở đây (pdf).