Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Diskuse k článku

Android má trhliny v zabezpečení. Škodlivé aplikace zjistí citlivá data

Operační systém Android není dostatečně zabezpečený, poukazují mnozí odborníci. Škodlivé aplikace snadno dokážou bez oprávnění zjistit citlivé údaje o telefonu. Nyní na problém upozornil Paul Brodeur ze společnosti Leviathan Security, když vytvořil speciální software, který nedostatky systému odhalil.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

luke77777

Tady se člověk dozví věcí

Takže je špatně, že aplikace, kterou člověk nainstaluje může přečíst jeho data?

A používal někdy autor článku počítač? Takovej video přehrávač taky může přečíst vaše filmy a ještě má tu drzost, že vám je přehraje...

0/0
10.5.2012 12:36

dracekv1

je to o IQ uživatelů

Všechno je to o IQ uživatelů. Stejně tak jako PC. Určitejm lidem nepatří do ruky ani jedno. Pro ně je nejlepší linux bootovatelný z CD, protože ať systém rozbijou sebevíc, po restartu je zas jak byl.

To mi připomíná, jak sem si chtěl nainstalovat na mobil spořit a koukám, že chce oprávnění pro čtení historie prohlížeče, polohy GPS a nevím čeho ještě. Takže logicky sem ho neinstaloval a nahlásil. Jenže určitě je řada lidí, co jsou líní si to přečíst.

+2/0
8.5.2012 18:46

Tomasino

Shrňme to...

V podstatě jediné co pro mě z článku vyplynulo je to, že chyba je v lidském faktoru. A to má bejt chyba Androidu? V tom případě je Windows nejvadnějším systémem co kdy existoval. Myslím ,že každý kdo někdy někomu i třeba jen z dobrý vůle dával dokupy počítač ví, že "když je uživatel id.ot, nepomuže proti tomu prostě nic". Leda by mu usek ruce...

+4/0
7.5.2012 16:28

xxdavxx

Ekosystem

btw pojem ekosystem OS je pouzivany obrat. Ze ho neznate nevadi, nicmene bych se tomu nesmal. Je to ok pojem, ktery vyjadruje provazanost OS s HW. Ono totiz Ekologie neni jen o trave a vzduchu, a vyznamove si mozna par lidi plate ekosystem s enviromentalnimi vedami.

0/0
7.5.2012 0:54

xxdavxx

pobavi

Zadny OS at uz Linux Win Android IOS neni absolutne bezpecny. Kazdy OS v sobe obsahuje chybu, uz z principu. OS musi mit pristup k urcitym slozkam a aplikacim a hlavne k rizeni procesu, a tohle se da zneuzit vzdy. Pokud je OS az moc svazany bezpecnosti, je to kontraproduktivni, slozitost kodu roste a hlavne tohle je citlive na konflikty, takze to neni az tak jednoduche vyresit. Nejlepsi obranou proti malware je nestahovat a neinstalovat kazdou ptakovinu, a jednou za cas provest totalni reinstal systemu. vse ostatni vcetne ruznych antiviru je proste neucinne. Antivir sam o sobe ma taky pristup tam kde nechci.

+1/0
7.5.2012 0:51

Sub7

...

Přečtu si "ekosystém Google" a už ani nemusím pokračovat dál, stačí mi to abych se řehtal až do konce víkendu.

+1/0
6.5.2012 11:44

liquido

Re: ...

To napiš Andymu Rubinovi... Můžu ti poslat odkaz na jeho prezentaci - budeš se řehtat měsíc.

+1/0
6.5.2012 12:06

Sub7

Re: ...

Je mi jedno, kde a kdo tu ptákovinu plesknul poprvé. Může to být i díky nepozornosti, třeba pokud to vnutí do textu automatický korektor. Každopádně by se původce měl hluboce stydět. Ovšem ještě více by se měl stydět každý, kdo ten nesmysl opakuje, protože papouškování je pro něj snazší než zapojení vlastního mozku. To už pak není nepozornost, ale duševní nedostatečnost.

0/0
6.5.2012 12:25

liquido

Re: ...

Nevím, kdo to použil jako první a je mi to taky jedno.

Můžu tě ujistit, že to spoluzakladatel Androidu zodpovědný v Googlu za jeho vedení nepoužil nedopatřením, ale zcela vědomě a záměrně.

Abych pravdu řekl - v přeneseném smyslu s ekosystémem žádný problém nemám - označení pro systém kde jsou provázaná zařízení, sw a služby mi přijde akceptovatelný.

Proč to tak vadí tobě?

0/0
6.5.2012 12:50

Sub7

Re: ...

Mně to nevadí, mně to připadá srandovní. Stejně jako kdyby třeba o Androidu někdo prohlásil, že je BIO. Android mám, používám a jsem s ním spokojený. Nic na tom nezmění ani když mu někdo ať už omylem či záměrně přiřkne nějakou nesmyslnou nálepku. Ale přesvědčení, že nálepka EKOsystém je u operačního systému nesmyslná, to si ponechám.

0/0
6.5.2012 15:25

liquido

Re: ...

To klidně můžeš...

Dokonce je OK, že ti přijde srandovní - na druhou stranu se z toho stalo už poměrně přijaté označení.

Ale abych řekl pravdu, tohle mě netrápí.

0/0
6.5.2012 15:29

doktor_bota_2

Re: ...

Ekosystém se dá chápat i jako ekonomický systém.:-)

Jinak mnohem přiléhavější označení pro "životní" prostředí operačního systému je biotop.

0/0
6.5.2012 16:04

skate

Re: ...

Nestává se mi to často, ale s tímto bez výhrad souhlasím. :-)

0/0
6.5.2012 16:47

Szalooth

Re: ...

Ekosystém - ať už výraz vznikl jako bota nebo záměrně - je dost výstižný výraz. Nemám celistvý přehled o vnitřní struktuře systému, ale namátkou třeba proces Dalvik přesně tohle dělá - vytváří ze změti aplikací a služeb celek s přesně popsanými závislostmi.

0/0
6.5.2012 17:23

Sub7

Re: ...

To jste ale popsal obecně systém. Jistě pod pojmem systém nerozumíte změť. Co je ekologie jistě snadno najdete, zdrojů je i na internetu dostatek. A nemyslím, že najdete nějaký příklad užití předpony EKO- ve smyslu "ekonomický" místo "ekologický". Chcete-li zdůraznit uspořádanost systému, propojenost a využití systémových prostředků, pak se netřeba utíkat k ekologii, teorie systémů má vlastní terminologii.

+1/0
6.5.2012 20:54

Fatboymiki

Lukáš Hron

V redakci Mobil.cz působí od dubna 2012. Vystudoval obor bankovnictví-pojišťovnictví na ČAO Dr. E. Beneše v Praze.

Takže je jasné, že tenhle pojišťovák se musel v redakci mobilu pořádně uvést, nejlépe nějakou bombou proti androidu;-D;-D;-D

+6/0
6.5.2012 11:01

Fatboymiki

nejslabším místem

bude vždy uživatel, nikoliv operační systém

+3/0
6.5.2012 10:49

liquido

Re: nejslabším místem

S tím se dá souhlasit, otázka je, jestli je OK, aby aplikace mohla probírat data řeba na kartě a posílat jí ven - což podle autora aplikace možné je - už se nejedná o chybu uživatele.

0/0
6.5.2012 10:56

doktor_bota_2

Re: nejslabším místem

Není to možné.

+3/0
6.5.2012 11:05

liquido

Re: nejslabším místem

?

0/0
6.5.2012 11:23

doktor_bota_2

Re: nejslabším místem

Dostaneš se jen na soubory na SD a jen bez atributu system/hidden, což vylučuje pracovní adresáře aplikací (typicky složka ".android"). Přenosová rychlost v ideálních podmínkách je cca 512 b/s, v reálu tak třetinová - díky limitacím příkazů a dalším omezením. Hypoteticky by ti někdo mohl asi tak za měsíc stáhnout obrázky z dovolené či za půl roku složku "video", ale to lze za obvyklých podmínek udělat mnohem jednodušeji (na kterémkoliv OS). Závěr - je to nepoužitelné, nejde to.

 

Na vysvětlenou - hrabal jsem se v tom do tří do rána.:-)

0/0
6.5.2012 11:30

liquido

Re: nejslabším místem

úsilý oceňuju - na tyhle srandy už sem starej.

o posílání fotek nebo videa přece nejde, důležitý jsou většinou spíš informace které mají pár jedniček a nula šly by přes get poslat docela dobře.

To, že je to samo o sobě celkem k ničemu neznamená, že to není nebezpečné spolu s dalšíma věcma - viz třeba pod článkem zmíněnou kompresní aplikaci, chmod 775 a neobnovený permissny. Třeba by šlo zneužít i ten seznam aplikací. A programů, které se chovají nestandardně - třeba ukládají soubory kam nemají - (bude) dost.

Ale je tu ještě jedna věc - tahle aplikace sama o sobě není určená k instalaci, ale její funkce není problém skrýt do libovolné aplikace, které nějaké oprávnění může poskytnout i běžně opatrný uživatel.

0/0
6.5.2012 12:05

davyjones

Re: nejslabším místem

a nejlepší na tom je, že v takových případech je největším kamarádem vlastníka androidu zjevně majitel apple, protože úchylně zaujatý majitel androidu nemá dostatečný nadhled a spletl se v titulu, viď boto?;)

0/0
6.5.2012 12:23

doktor_bota_2

Re: nejslabším místem

Užívej hlavu - chceš zakázat aplikacím zjistit nainstalované aplikace? Co aktualizace, závislosti a konflikty? Co pluginy či licenční klíče, dostupné samostatně? Nesmysl.

Co se týče přístupu na sdcard, je read-only s omezením na "veřejné složky", což je podstatně větší zabezpečení, než na jakémkoliv desktopu. Ano, velmi hypoteticky by se tak daly stáhnout nějaké citlivé informace, ale to by musel být naprosto cílený útok, těžko se něco podobného kdy stane součástí typického malware.

+2/0
6.5.2012 12:24

davyjones

Re: nejslabším místem

pochop už konečně ten problém - pokud si zažádají o povolení, no problem... Pokud to obejdou, je to průser. O to tady celou dobu jde, inženýre

0/0
6.5.2012 12:29

davyjones

Re: nejslabším místem

oprava - do jisté míry to není problém

0/0
6.5.2012 12:36

liquido

Re: nejslabším místem

Co se možnosti odesílání citlivých složek týká, tak bych radši vyloučil i hypotetické možnosti - jsem na ně citlivý.

Proto jsou třídy PackageManager - a zakazovat to nechci, jen jsem uváděl příklad, kdy podobná neškodná věc kombibnovaná s několika dalšíma neškodnejma věcma může být ve špatných rukou najednou škodlivá.

Jako součást malwwaru si to taky nedokážu představit - předpokládám, že touhle dobou už má google opravu - přece jen to je už měsíc stará věc.

0/0
6.5.2012 12:45

doktor_bota_2

Re: nejslabším místem

Jakých citlivých složek? Grrr...;-O

Jinak problém jakékoliv opravy ve finále neleží na Google, což je jeden z nedostatků, které Android opravdu má.

+2/0
6.5.2012 12:47

davyjones

Re: nejslabším místem

co třeba backupy kontaktů?

0/0
6.5.2012 12:50

liquido

Re: nejslabším místem

Jaká data považuješ za citlivá?

Stáhneš si nevinou jednoduchou a užitečnou aplikaci, která má dobrý důvod pracovat třeba s kontakty, nebo polohou (nebo jinými citlivými údaji) - a díky tomuhle kanálu se tvoje data dostanou ven.

0/0
6.5.2012 13:15

doktor_bota_2

Re: nejslabším místem

Pokud bude mít jakákoliv aplikace moje svolení pracovat s mými kontakty, pořád nevím, proč by se měly ocitnout nezašifrované ve "veřejné" složce na kartě, nicméně teoreticky to možné je. Na druhou stranu, pokud se bavíme o klasickém malware, jakou by měl výtěžnost? Nasbíral by pár e-adres, načež by ho Google zařízl.

+2/0
6.5.2012 13:32

davyjones

Re: nejslabším místem

a ten certifikát?

0/0
6.5.2012 13:38

liquido

Re: nejslabším místem

No, kdyby ta aplikace mohla pracovat s tvými kontakty a použila by "get", tak by se nemusely kontakty dostat na nezašifrovanou (ona mám obavu an nemůže být jiná?) kartu.

Ale adresy jsou jen příklad, je celkem jedno, o jaká citlivá data jde - když povolíš aplikaci práva a myslíš si, že jsi vpohodě, protože se aplikace nikam nepřipojuje.

0/0
6.5.2012 13:58

doktor_bota_2

Re: nejslabším místem

Skutečně v tom nevidím obecné bezpečnostní ohrožení - stejně jako na desktopu si prostě člověk musí dávat pozor, kde co má. Lze to označit za riziko výhradně při cíleném útoku, kdy lze ale podstatně lepších výsledků jinak a rychleji na kterémkoliv mobilním OS, pokud by byl adrestát útoku tak naivní, že by si vitální informace uchovával na něčem tak nezajištěném, jako je mobil.

+1/0
6.5.2012 15:56

liquido

Re: nejslabším místem

Já v tom, že aplikace může bez mého vědomí komunikovat se světem potenciální riziko vidím, ale souhlasím, že by šly vymyslet i jiné možnosti, kdyby si člověk chtěl nasadit černej klobouk a začít vydělávat nebo škodit.

Nemyslim, že by tahle možnost měla v systmu zůstat.

Nezašifrovaná karta je proti tomu asi většinou prkotina - když na ní člověk nenahraje třeba klíče, jako se přihodilo autorovi aplikace.

Sem zvědavej, jak se to bude řešit, aby to ani nemělo cenu zkoušet.

Obávám se, že jak jsem říkal, že tenhle problém Androidu nevyčítám, tak by mě nepřekvapilo, že se k tomu postaví/nepostaví tak, že ho za to kritizovat budu. Přístup "tady máte systém a za problémy nikdo nemůže a nikdo je nebude řešit" mi u spotřební elektroniky pro civily dobrá nepřijde.

0/0
6.5.2012 16:28

davyjones

Re: nejslabším místem

"na něčem tak nezajištěném, jako je mobil" .......pecka, umlátil ses sám. congratulations

0/0
6.5.2012 21:12

doktor_bota_2

Re: nejslabším místem

Zeptej se v rodině kapsářů, jak vidí bezpečnost mobilních telefonů oni. A už neotravuj.

+3/0
6.5.2012 22:00

davyjones

Re: nejslabším místem

máš úžasně bezpečný android, jsi takový expert na IT security a jedna čorkařská rodina tě rozhází? nějak se nám do toho zamotáváš. tebe si vychutnám

0/0
7.5.2012 0:34

xxdavxx

Re: nejslabším místem

si trapny a porad ti to nedochazi, ze te ignoruje, protoze ty tvoje plky za nic nestoji. az si to uvedomis a zacnes psat neco k veci tak pak ok, do te doby jak rikam, si trapny.

+1/0
7.5.2012 0:46

gay focker

Re: nejslabším místem

ty jsi sem přišel z alíka? tvé reakce tomu nasvědčují;-D

0/0
7.5.2012 6:29

davyjones

Re: nejslabším místem

bot, máš tady dva potenciální milence, což byl asi tvůj úmysl:-) enjoy

0/0
7.5.2012 9:11

Drobeczech

Re: nejslabším místem

Ty mi pripominas petilety dite. Kdyz nekdo neuzna tvuj navazor je d...l a kdyz nekdo souhlasi s tvim oponentem je to jeho milenec. Doufam jen ze se nudis a schvalne prudis. A pokud ne tak buh s nami.

0/0
7.5.2012 14:15

davyjones

Re: nejslabším místem

nedoufej a modli se. mám své nároky a malou trpělivost

0/0
7.5.2012 14:31

HrubesaMares

Re: nejslabším místem

chmod 775 na karte s FAT32? 8-o

BTW nove HTC to maji vyresene radikalne - nemaji kartu ;-)

0/0
6.5.2012 14:38

liquido

Re: nejslabším místem

Tak řešení to je radikální, to ano.

chmod 775 - psal jsem o kombinaci s dalšíma věcma, a o cmodu konkrétně právě z toho důvodu, že ho řešili v původním článku v souvislosti s aplikací na kompresi souborů.

0/0
6.5.2012 15:01

maikcrew

Strašení

Stačí si nahrávat důvěryhodné aplikace a neměl by mít problém. To platí u každého OS.

+1/0
6.5.2012 10:34

pteryx

Pane Hrone,

o Googlu se dá říct leccos, ale jsou to profíci, o tom nepochybujte. Jak tu kdosi napsal, ten článek je blbě přeložený, v originálu je že IMEI nelze přečíst. Já nejsem kdovíjaký fanda Google, spíš mi trochu vadí jak do všecho strká nos. Android možná není příliš kdovíjak bezpečný systém,  ale není to tak hrozné jak jste napsal. UVĚDOMUJETE SI, ŽE ZA TENHLE ČLÁNEK BY VÁS MOHL GOOGLE ŽALOVAT? A že by skoro jistě uspěl?

+4/0
5.5.2012 19:43

davyjones

Re: Pane Hrone,

;-D kluci, spalte svoje zelený plyšáky a hajte svoje zájmy. Jste sami proti sobě. Za kuřbu google vám nikdo nic nedá

+1/0
5.5.2012 20:24

doktor_bota_2

K úrovni autora článku a tohoto webu

Lukáš Hron napsal: "Software tak bez oprávnění získal přístup k identifikačnímu kódu mobilního telefonu (IMEI) a také k operátorem přidělenému unikátnímu číslu SIM karty (IMSI)."

Paul Brodeur napsal: "Without the PHONE_STATE permission, it's not possible to read the IMEI or IMSI, however the GSM & SIM vendor IDs can still be read." - "Bez oprávnění PHONE_STATE je nemožné číst IMEI nebo IMSI, lze však přečíst kódy výrobce GSM a SIM".

Nemožné, pane Hrone. Stejně jako Vaše odborná i novinářská úroveň.

 

Zdroj: http://leviathansecurity.com/blog/archives/17-Zero-Permission-Android-Applications.html (díky liquido).

+15/0
5.5.2012 15:43

liquido

Re: K úrovni autora článku a tohoto webu

Vždycky je dobrý podívat se po zdroji...

0/0
5.5.2012 15:46







Najdete na iDNES.cz