Το Android επιτρέπει σε εφαρμογές να πάρουν τον έλεγχο του λειτουργικού / The Android allows applications to take control of the operating

Η πρώτη γραμμή άμυνας στην ασφάλεια των υπολογιστών είναι ο χρήστης, ή τουλάχιστον έτσι συμβαίνει στο Android.

The first line of defense in computer security is the user, or at least that happens to Android.

 Όποτε εγκαθίσταται μία εφαρμογή από το Android Market ή μέσω κάρτας SD ή μέσω μεταφόρτωσης (download), εμφανίζεται στον χρήστη μία ανάλυση δικαιωμάτων πρόσβασης όπου φαίνεται σε τι ακριβώς μέρος του λογισμικού αλλά και του hardware έχει πρόσβαση η συγκεκριμένη εφαρμογή. Οι πιο υποψιασμένοι χρήστες συχνά αποφεύγουν εφαρμογές που επιθυμούν να έχουν μεγαλύτερη πρόσβαση απ' όση χρειάζεται και οι πιο καλοί developers συνήθως δημοσιεύουν τους λόγους για τους οποίους ζητούν πρόσβαση στο Android Market. Αλλά φαίνεται ότι υπάρχει ένα σημαντικό κενό ασφαλείας στο σύστημα δικαιωμάτων πρόσβασης του λειτουργικού συστήματος Android. Ο Διευθυντής Έρευνας και Ανάπτυξης της εταιρείας ViaForensics απέδειξε ότι το σύστημα μπορεί να παρακαμφθεί με την εγκατάσταση μίας εφαρμογής χωρίς κανένα δικαίωμα πρόσβασης, η οποία παρ'όλα αυτά, μπορεί να ελέγξει πλήρως το κέλυφος του λειτουργικού συστήματος Android.

Ο Thomas Cannon κατέστησε γνωστό το πρόβλημα ασφαλείας μέσω ενός video, στο οποίο χρησιμοποιεί ένα προσομοιωτή του Gingerbread SDK. Η εφαρμογή που δημιούργησε, εγκαθίσταται χωρίς κανένα δικαίωμα πρόσβασης - ισάξια ενός wallpaper σύμφωνα με το σύστημα δικαιωμάτων πρόσβασης του Android. Η εφαρμογή επιτρέπει τον έλεγχο του κέλυφους του Android μέσω μίας απομακρυσμένης σύνδεσης. Η εφαρμογή εμφανίζεται ως "παιχνίδι" και δεν ζητά δικαίωμα πρόσβασης. Ο Cannon λέει ότι το πρόβλημα ασφαλείας δεν είναι νέο και είναι γνωστό στους ερευνητές ασφαλείας εδώ και λίγο καιρό ενώ σημειώνει ότι έχει διαπιστώσει την ύπαρξή του από την έκδοση 1.5 του λειτουργικού μέχρι και το πρόσφατο Ice Cream Sandwich. Η εφαρμογή αποκτά δικαίωματα πρόσβασης μέσω του web browser του Android ενώ ο ερευνητής βρήκε και άλλα ζητήματα ασφαλείας όπως αρχεία της εφαρμογής e-mail τα οποία αποθηκεύονταν σε μη κρυπτογραφημένη μορφή στην κάρτα μνήμης SD...

Η εταιρεία ViaForensics πρόσφατα αποκάλυψε προβλήματα ασφαλείας στο σύστημα πληρωμών Google Wallet το οποίο λειτουργεί με την τεχνολογία NFC. Ο Cannon είναι ερευνητής, όχι hacker. H εφαρμογή που χρησιμοποιεί είναι μία δοκιμαστική εφαρμογή φτιαγμένη ειδικά για την απόδειξη του προβλήματος ασφαλείας. Ακόμη όμως κι έτσι, η επίδειξη είναι ανησυχητική - εάν κάποιος προχωρημένος developer τα κατάφερε, κάποιος λιγότερο προχωρημένος θα το αντιληφθεί επίσης. Ο Cannon δεν εξήγησε επακριβώς το σύστημα με το οποίο αποκτά πρόσβαση μέσω του web browser αλλά προφανώς οι μηχανικοί της Google θα μπορέσουν να βρουν το πρόβλημα και να το διορθώσουν. Ως συνήθως, να ελέγχετε τα δικαιώματα πρόσβασης κάθε εφαρμογής και να εγκαθιστάτε εφαρμογές μόνο από πηγές που εμπιστεύεστε.

English Version:

Whenever you install an application from the Android Market or via SD card or via download (download), the user is presented an analysis of access rights showing in what part of the software and hardware to access the application. The most suspicious users often avoid applications that wish to have more access than it needs and more good developers usually publish their reasons for seeking access to Android Market. But there seems to be a major flaw in the system access rights to the operating system Android. The Director of Research and Development Company ViaForensics demonstrated that the system can be bypassed by installing an application without any right of access, which nonetheless can completely control the operating system shell Android.The Thomas Cannon has known security problem through a video, which uses a simulator Gingerbread SDK. The application that created it, installed without any right of access - equal a wallpaper under the system of access rights to Android. The application allows the control of the shell of Android through a remote connection. The application displays a "toy" and not requesting access. The Cannon says the security problem is not new and is known to security researchers for some time while noting that it has established the existence of the version 1.5 operating until the recent Ice Cream Sandwich. The application obtains access via the web browser of Android and the researcher found and other security issues such as records of e-mail application are stored in unencrypted form on a memory card SD ...The company ViaForensics recently revealed security problems in the payment system Google Wallet that works with technology NFC. The Cannon is a researcher, not hacker. H is applied using an experiment made specifically for evidence of a safety problem. Even so, the show is worrying - if a developer has done an advanced, less advanced one will understand too. The Cannon did not explain precisely the system that obtains access via web browser but apparently Google's engineers will be able to find the problem and fix it. As usual, check the access rights of each application and install applications from sources you trust.