Aplikacja bez żadnych uprawień, a może wykraść dane z telefonu. Winna appka od... Google
Uprawnienia aplikacji na Androida budzą wiele wątpliwości. Są źle sformułowane, a niektóre appki wymagają dziwnych uprawnień, które w teorii nie są im potrzebne. Dlatego też zawsze warto sprawdzać, do czego program, szczególnie mało znany, chce mieć dostęp. Jednak nawet to może nas nie uchronić przed wyciekiem prywatnych danych. Wszystko przez kolejną lukę, ale tym razem nie w Androidzie, a oficjalnej aplikacji od Google.
Wszystkiemu winna jest aplikacja Google Voice Search (GVS) – jak informuje serwis Niebezpiecznik.pl. Wystarczy zainstalować nieodpowiednią aplikację, która może nawet nie wymagać kompletnie żadnych uprawnień, aby przy jej pomocy nie tylko podsłuchiwać użytkownika telefonu, ale nawet się pod niego podszywać, czy też kraść poufne dane. Podkreślam jeszcze raz – bez żadnych uprawnień.
Jak to możliwe?
Właśnie dzięki, a w sumie to przez aplikację Google Voice Search. Podejrzany program po instalacji uruchamia GVS i wydaje mu komendy głosowe, np. send SMS to number xxx (wyślij SMS-a na numer xxx), where is my location (gdzie się teraz znajduję), czy też po prostu call to (zadzwoń do).
Co więcej, taka aplikacja została stworzona i zainstalowana testowo na telefonie z Androidem, na którym były także programy antywirusowe (AVG, ESET Mobile, Norton Mobile Security itp.). Atak zakończył się powodzeniem, a aplikacje, które mają dbać o bezpieczeństwo naszych danych, w ogóle nie zareagowały. Bo i dlaczego by miały skoro wykorzystywana była oficjalna aplikacja od Google?
Problemowi można częściowo zapobiec
Wystarczy mieć blokadę telefonu na tzw. wzór lub kod. Aplikacje tego typu, jeśli miałyby być skuteczne, musiałyby działać w momencie nie używania telefonu, w przeciwnym wypadku użytkownik zauważyłby podejrzane zachowanie urządzenia. A jeśli telefon nie jest używany, np. w nocy, to jest też zablokowany, a więc możliwości Google Voice Search są mocno ograniczone.
Druga strona medalu jest taka, że jeśli zgodzimy się na jakieś uprawnienia aplikacji, to ta będzie mogła wyciągnąć jeszcze więcej informacji z naszego telefonu, włącznie z listą kontaktów, czy SMS-ami w skrzynce.
Nie jest to pierwszy przykład tego, w jaki sposób można się włamać na telefon z systemem Android. Hakerzy i krakerzy już niejednokrotnie udowadniali, że system z zielonym robotem jest podatny na podobne ataki. Z jednej strony problemem jest fragmentacja systemu. Wiele osób wciąż korzysta ze starszych wersji, które nie są tak dobrze chronione, jak najnowsze. Co prawda Google zapowiedziało odpowiednie aktualizacje przez Google Play Services, ale jedna aktualizacja na 6 miesięcy, w przypadku wykrycia poważnej luki w systemie, to i tak trochę zbyt długi okres. Poza tym Android jest systemem otwartym i wraz ze wszystkimi tego zaletami, trzeba się także liczyć z wieloma wadami. Nie ma w końcu rozwiązania idealnego.
Jestem jednak przekonany, że jeśli każdy użytkownik zachowa zdrowy rozsądek, to nic złego mu się nie stanie
Po pierwsze, nie instalujcie podejrzanych aplikacji z plików APK. Zawsze opłaca się wydać na grę czy appkę te 3 zł, niż później stracić dużo więcej. Po drugie, nawet ze Sklepu Play nie warto instalować dziwnych i podejrzanych aplikacji od mało zaufanych deweloperów (chociaż Google zapowiadało, że wszystkie programy będą skanowane i sprawdzane). No i wreszcie po trzecie, lepiej nie łączyć się z publicznymi, otwartymi sieciami WiFi, np. w kawiarniach. Przez nie też wprawiona osoba może się włamać do naszego telefonu. Pakiety internetowe nie kosztują dzisiaj już tak dużo, a do przejrzenia Facebooka i sprawdzenia maila 1 GB miesięcznie będzie więcej niż wystarczający.
Ja korzystam z wszystkich tych zasad i do tej pory chyba nic złego się nie stało. Pewnie Wam też nie, nawet jeśli instalowaliście aplikacje i gry z plików APK. Ale po co kusić los? Czy naprawdę warto?
---
Zdjęcie główne pochodzi z Shutterstock
