Apper uten rettigheter kan spionere

Android-apper uten tilgangsrettigheter kan fortsatt stjele data.

The Leviathan Security Group har laget en Android-app som viser hvordan det er mulig å stjele data fra telefonen og laste det opp til nettet. Og det uten at appen har tillatelser til å gjøre dette i det hele tatt.

Om du laster ned en app til en Android-telefon kan du se igjennom en liste over hvilke tillatelser en app krever rettigheter til.

Det kan være smart, da det for eksempel ville være unaturlig at et spill krever tilgang til kontaktene dine, eller krever tillatelser til å sende SMS for eksempel.

Men selv om telefonen sier at appen ikke krever noen spesielle tillatelser betyr det ikke at appen ikke kan stjele informasjon.

Ingen tillatelser, men kan stjele data

Appen, som heter Nopermissions, er laget som et konsept for å demonstere dette. Appen gir deg tre valg: Å stjele data fra SD-kortet, å stjele app-data og å laste opp enhetsinformasjon til en tjener. Det til tross for at du ikke har godkjent rettigheter til dette.

Det kan lett tenkes at utviklere med onde hensikter kan utnytte disse hullene, uten at du engang vet om det.

Informasjonen på SD-kortet kan være alt fra bilder til privat og hemmelig informasjon. Å lese app-data innebærer å finne ut hvilke apper som er installert på telefonen. Appen kan også lese informasjon som kan identifisere telefonen.

Og alt kan altså lastes opp til en tjener så lenge telefonen er koblet til internett. Appen trenger ikke engang være synlig på skjermen for å gjøre dette.

Utvikleren har testet appen på Android 2.3.5 og Android 4.0.3, og funnet at det er mulig på begge.

Mer informasjon er lagt ut på Leviathan Securitys nettsider. Der finner du også appen og kildekoden til denne.

Kilde: Levithansecurity.com