Endnu en sikkerhedsrapport kritiserer Android

Du tænker måske at dette bare er endnu en historie om sikkerhedsproblemer på Android, og du har faktisk ganske ret, det er ikke længe siden det seneste sikkerhedshul blev påpeget i Android systemet.

Men denne gang er sagen lidt anderledes. Når en applikationer bliver downloadet via Google Play, kan man som forbruger se hvad der gives tilladelse til applikationen må se inden man installere den.

Men kan udviklerne se mere end hvad der bliver givet tilladelse til i applikationen? Ifølge Paul Brodeur fra firmaet Leviathan Security, så kan man.

Han har udviklet en applikation der ikke skal have tilladelse til noget, eller sådan ser det hvert fald ud når applikationen skal downloades via Google Play. Men sagen forholder sig helt anderledes.

For ifølge Paul, så kunne han via sin egen ”no permission” applikation nemlig se mange informationer, selvom der ikke var blevet givet tilladelse til dette af brugeren.

Han kunne blandt andet se data på SD-kortet og se hvilke andre apps der er installeret på enheden. Derudover kunne han scanne applikationerne for svage indgangspunkter, samt se informationer om hvilket netværk der bruges på telefonen og SIM-kort informationer.

Også hvilken Android ID telefonen havde, kunne udlæses. Android ID’et er unikt for enheden, og et tal der består af 64 cifre og er automatisk genereret første gang en Android enhed bliver anvendt.

Men hvordan bliver alle informationerne sendt når applikationen ikke har tilladelse til at gå på nettet? Det forklarer Paul i sit blog-indlæg, ved at anvende et script der åbner for telefonens browser og sender dem derigennem.

Applikationen blev testet på en Android 4.0.3 og 2.3.5 enhed.