Нельзя доверять никому! Android всегда запрашивает набор прав для доступа к различным сервисам на вашем телефоне.
Всегда.
Почти.
Как оказалось, подсистема проверки прав может быть сломана.
Более того, производители телефонов и операторы связи ломают вещи.
На данный момент известно, что в прошивках Motorola Droid X и Samsung Epic 4G имеется изъян, позволяющий подавлять запросы на отправку SMS, запись разговоров и т. д. Ребята из Университета Северной Каролины (Америка) быстро нашли источник проблема.
Это оказались приложения, предустановленные оператором.
Видимо, оставив дыру «своим», разработчики не подумали о том, что «свои» могут быть разными.
В результате можно предположить наличие подобных дыр во всех прошивках от операторов связи.
Google и Motorola уже признали наличие этой ошибки, а HTC и Samsung пока хранят молчание.
Проблема в том, что операторы убрали запрос разрешения для своих приложений, которыми щедро запихивают в субсидированные телефоны.
Теперь достаточно подписать этим же сертификатом свое приложение (что, как показала практика, не так уж и сложно) и мы получаем приложение, которое воспринимается системой как «не требующее подтверждения доступа».
Интересно, что такой прокол может вообще не коснуться России.
У нас просто нет субсидированных телефонов и понятия «операторская прошивка».
У меня плохие новости… Исследователи также отметили, что Android Market не проверяет сертификаты.
На сайтеdevelopers.android.com открытым текстом написано: «Вы можете использовать самозаверяющие сертификаты для подписи своих приложений.
Центр сертификации не требуется" Это означает, что подарки можно будет раздавать прямо с рынка.
Всех с Рождеством! P.s: полное описание уязвимости с примерами доступна здесь Теги: #Android #недостаток безопасности #права доступа #разработка Android
-
Кенэ, Франсуа
19 Oct, 24 -
Ichromy — Браузер В Стиле Chrome Для Ipad
19 Oct, 24 -
Iknowfuture - Социальная Сеть Предсказателей
19 Oct, 24 -
Сравнительный Анализ Языков C# И C++.
19 Oct, 24
