Lo último en la historia interminable de seguridad de Android está disponible, y esta vez se trata de lo que puede acceder una aplicación si declara que no tiene permisos. (Para decirlo de otra manera, lo que toda una aplicación puede ver si no solicita ninguna de las aplicaciones de funcionalidad normal). Algunas personas hacen que no sea nada de qué preocuparse, otras lo usan en su búsqueda para condenar al mundo El sistema operativo más popular para teléfonos móviles, pero creemos que lo mejor que puede hacer es explicar lo que está sucediendo.
Un grupo de investigadores de seguridad se propuso crear una aplicación que declara no tener permisos para averiguar exactamente qué tipo de información podrían obtener del sistema Android en el que se estaba ejecutando. Este tipo de cosas se hacen todos los días, y cuanto más popular es el objetivo, más personas lo miran. En realidad, queremos que hagan este tipo de cosas, y de vez en cuando la gente encuentra cosas que son críticas y necesitan ser reparadas. Todos se benefician.
Esta vez, descubrieron que una aplicación sin permisos (como en none, nada, zilch) podía hacer tres cosas muy interesantes. Ninguno es serio, pero vale la pena mirarlo un poco. Comenzaremos con la tarjeta SD.
Cualquier aplicación puede leer datos en su tarjeta SD. Siempre ha sido así, y siempre será así. (Escribir en la tarjeta SD es lo que necesita un permiso). Las utilidades están disponibles para crear carpetas seguras y ocultas y protegerlas de otras aplicaciones, pero de manera predeterminada cualquier información escrita en la tarjeta SD está ahí para que cualquier aplicación la vea. Esto es así por diseño, ya que queremos permitir que nuestra computadora acceda a todos los datos en particiones compartibles (como tarjetas SD) cuando los conectamos. Las versiones más nuevas de Android usan un método de partición diferente y una forma diferente de compartir datos que se alejan a partir de esto, pero luego todos nos quejamos sobre el uso de MTP. (A menos que seas Phil, pero él está un poco loco por los MTP). Esta es una solución fácil: no pongas datos confidenciales en tu tarjeta SD. No use aplicaciones que coloquen datos confidenciales en su tarjeta SD. Luego, deje de preocuparse de que los programas puedan ver los datos que se supone que pueden ver.
Lo siguiente que encontraron es realmente interesante si eres un geek: puedes leer el archivo /data/system/packages.list sin permiso explícito. Esto no representa una amenaza por sí solo, pero saber qué aplicaciones ha instalado un usuario es una excelente manera de saber qué exploits pueden ser útiles para comprometer su teléfono o tableta. Piense en las vulnerabilidades en otras aplicaciones: el ejemplo que usaron los investigadores fue Skype. Saber que existe un exploit está ahí significa que un atacante podría intentar atacarlo. Sin embargo, vale la pena mencionar que apuntar a una aplicación insegura conocida probablemente requeriría algunos permisos para hacerlo. (Y también vale la pena recordarle a la gente que Skype rápidamente reconoció y solucionó su problema de permisos).
Finalmente, descubrieron que el directorio / proc proporciona un poco de datos cuando se consulta. Su ejemplo muestra que pueden leer cosas como la ID de Android, la versión del kernel y la versión ROM. Se puede encontrar mucho más en el directorio / proc, pero debemos recordar que / proc no es un sistema de archivos real. Mire el suyo con el explorador de raíz: está lleno de archivos de 0 bytes que se crean en tiempo de ejecución y está diseñado para que las aplicaciones y el software se comuniquen con el núcleo en ejecución. No hay datos confidenciales reales almacenados allí, y todo se borra y reescribe cuando el teléfono se reinicia. Si le preocupa que alguien pueda encontrar la versión de su kernel o la ID de Android de 16 dígitos, todavía tiene el obstáculo de enviar esa información a cualquier lugar sin permisos explícitos de Internet.
Estamos contentos de que las personas estén investigando profundamente para encontrar este tipo de problemas, y aunque estos no son críticos por ninguna definición seria, es bueno que Google se dé cuenta de ellos. Los investigadores que realizan este tipo de trabajo solo pueden hacer que las cosas sean más seguras y mejores para todos nosotros. Y debemos enfatizar el punto de que los compañeros en Leviatán no están hablando de pesimismo, solo están presentando hechos de una manera útil: el pesimismo viene de fuentes externas.
Fuente: Leviathan Security Group
![Sincroniza tus fotos de instagram con google + [procedimientos]](https://img.androidermagazine.com/img/help-how/869/sync-your-instagram-photos-google.jpg "Sincroniza tus fotos de instagram con google + [procedimientos]")