Νέο κενό ασφαλείας απειλεί το οικοσύστημα Android
Μία νέα έρευνα που διεξήχθη πρόσφατα αποκαλύπτει ένα τεράστιο κενό ασφαλείας στο οικοσύστημα Android.
Η έρευνα ξεδιπλώνει τις κρυφές πτυχές του Android και πιο συγκεκριμένα τα Google’s IAMs (Installed Application Methods) τα οποία απειλούν το ιδιωτικό απόρρητο μίας Android συσκευής.
“Τι είναι όμως τα IAMs;” Τα IAMs ένα σύνολο API κλήσεων σε Android OS (με απλά λόγια κώδικας Android), ο οποίος επιτρέπει σε έναν προγραμματιστή μίας Android εφαρμογής να έχει πρόσβαση σε όλες τις εγκατεστημένες εφαρμογές του χρήση για να ελέγξει για τυχόν ασυμβατότητες κάνοντας τις απαραίτητες διορθώσεις.
Ωστόσο, στην έρευνα, διαπιστώθηκε ότι ορισμένες φορές χρησιμοποιείται λανθασμένα η διαδικασία αυτών των IAMs με αποτέλεσμα ο προγραμματιστής, πολλές φορές χωρίς καν να το γνωρίζει ούτε ο ίδιος, να αποκτά πρόσβαση και σε πιο ευαίσθητα δεδομένα της συσκευής όπως το φύλο του χρήστη, τις θρησκευτικές του πεποιθήσεις, τις γλώσσες που μιλάει ή ακόμα και την ηλικία του και εν συνεχεία τα δεδομένα να αποστέλλονται σε διαφημιστικές εταιρείες . Ακούγεται χμμμ αρκετά σοβαρό έτσι;
Η έρευνα διεξήχθη από τέσσερις ακαδημαϊκούς από την Ιταλία, την Ολλανδία και την Ελβετία. Σε αυτή τη διαδικασία, οι ερευνητές ανέλυσαν χιλιάδες δημοφιλείς εφαρμογές Android και τους κώδικες τους ψάχνοντας για κλήσεις API IAMs. Σε έλεγχο 14.342 κορυφαίων εφαρμογών Android του Play Store διαπιστώθηκε ότι πάνω από τις 4.214, δηλαδή πάνω από το 30%, χρησιμοποιούσαν τις κλήσεις IAM μέσα στον κώδικα τους ενώ σε έλεγχο 7.886 εφαρμογών εκτός Play Store διαπιστώθηκε ότι μόνο το 2,89% χρησιμοποιούσε τις εν λόγω κλήσεις API.
Το καλύτερο όμως δεν σας το είπαμε ακόμα.
Οι χρήστες δεν έχουν ιδέα το τι γίνεται αφού οι κλήσεις IAM είναι “σιωπηλές” που σημαίνει ότι οι εφαρμογές που χρησιμοποιούν αυτές τις κλήσεις API δεν χρειάζονται καν την άδειά του χρήστη για την εκτέλεση τους.
Αναμένεται πάντως να παρουσιαστεί μία μελέτη με το όνομα “Leave my Apps Alone! σχετικά με τον τρόπο με τον οποίο προσεγγίζεται το όλο θέμα.
Η μελέτη θα παρουσιαστεί στο MOBILESoft 2020 που θα διεξαχθεί, τον Οκτώβριο φέτος, καλώς εχόντων των πραγμάτων με τον κοροναϊό, στη Νότια Κορέα ενώ μπορείτε να δείτε εδώ τη σχετική αναφορά.