TOPlist

Android 15 opravuje chybu, která umožňovala aplikacím obejít zabezpečení

android 15 zabezpečení
  • Android 15 zavede nový režim, který škodlivým aplikacím zamezí zneužití mezery
  • Android blokuje uživatelům snadné povolení služeb usnadnění aplikacím mimo Obchod Play
  • Metoda, kterou k tomu systém používá, má však mezeru, kterou Android 15 uzavře

Ačkoli většina uživatelů Androidu stahuje aplikace z předinstalovaných obchodů s aplikacemi, jako je Google Play, někteří uživatelé získávají své aplikace z alternativních online zdrojů, což je praxe zvaná sideloading. Možnost volně načítat aplikace je velkou součástí toho, co dělá Android otevřenější platformou než iOS. Bohužel je to také důvod, proč se lidé mylně domnívají, že Android je méně bezpečný než iOS.

Jak funguje zabezpečení?

Je to proto, že bez ohledu na to, odkud aplikace získáváte, vestavěné funkce ochrany osobních údajů a zabezpečení systému Android zajišťují, že aplikace nebudou mít přístup k citlivým oprávněním bez vašeho souhlasu. Je však pravda, že sideloading aplikací z alternativních zdrojů s sebou pro průměrného uživatele nese o něco větší riziko ve srovnání s tím, když zůstane u Google Play. Je to proto, že pro vývojáře se zlými úmysly je jednoduše snazší distribuovat aplikace mimo Google Play, protože se nemusí potýkat s předpisy, byrokracií a kontrolou, které distribuce aplikací Google Play zahrnuje.

Škodlivé aplikace pro Android, bez ohledu na to, odkud pocházejí, se běžně pokoušejí oklamat uživatele, aby jim udělili přístup k rozhraním přístupnosti a oznámení. Rozhraní pro přístupnost umožňuje aplikacím číst obsah obrazovky a také provádět vstupy za uživatele, zatímco rozhraní API Notification Listener umožňuje aplikacím číst nebo provádět akce s libovolným oznámením. Tato rozhraní API lze použít k páchání podvodů s reklamami, krádeži jednorázových hesel, instalaci dalších aplikací a mnohem, mnohem více.

Zatímco Google Play má některá (většinou byrokratická) opatření, která zajišťují, že tato rozhraní jsou používána k zamýšleným účelům, samotný Android se při rozhodování o tom, jak velký přístup udělit, spoléhá většinou na deklarace aplikace. Například počínaje Androidem 13 operační systém brání uživatelům ve snadném povolení služeb přístupnosti nebo oznámení pro aplikace, které byly načteny mimo obchod s aplikacemi. Pokud byste načetli aplikaci, která vám byla zaslána e-mailem, Android by vám zablokoval povolení služby usnadnění nebo oznámení, protože jsou označeny jako “omezená nastavení”.

Dialogové okno Omezená nastavení systému AndroidDialogové okno Omezená nastavení

Jak operační systém pozná, že jsou aplikace načteny bokem mimo obchod s aplikacemi? Určuje to na základě toho, jaké služby aplikace pro instalaci využila. Obchod Play používá jiné postupy, než například správce souborů nebo prohlížeč. Problém je v tom, že aplikace může pro sideloading využít služby, které využívá Obchod Play. To znamená, že aplikace, kterou jste instalovali pomocí sideloadingu, se může tvářit jako instalovaná z legitimního obchodu. Vývojáři škodlivých aplikací bohužel rozpoznali tuto mezeru ve funkci Omezená nastavení systému Android a již ji zneužívali k obejití této bezpečnostní funkce.

Android 15 zasahuje

Naštěstí Google pracuje na uzavření této zjevné mezery ve funkci Omezená nastavení systému Android. V Androidu 15 se společnost připravuje na zavedení nové funkce Rozšířený potvrzovací režim, která je v podstatě těsnější a nadupanější verzí omezených nastavení. Přestože funkce ještě není v nejnovější aktualizaci Android 15 Beta 1.1 povolena, podařilo se analýzou kódu zjistit, jak bude fungovat..

Formulace v dialogovém okně Rozšířený potvrzovací režim se velmi podobá stávajícímu dialogovému oknu Omezená nastavení. Stejně jako u omezených nastavení se v dialogovém okně zobrazí “z důvodu vaší bezpečnosti je toto nastavení aktuálně nedostupné”, když se pokusíte povolit službu usnadnění nebo oznámení. Dialogové okno však trochu rozvine zdůvodnění tím, že dodá, že “tato aplikace požádala o oprávnění %1$s, což je omezené nastavení, protože může ohrozit vaši bezpečnost a soukromí. Omezení tohoto oprávnění může zabránit tomu, aby tato aplikace fungovala.” Kromě toho je zbytek dialogového okna stejný, až na nadpis a dvě tlačítka.

Jedním ze zásadních rozdílů mezi novým režimem rozšířeného potvrzení systému Android 15 a funkcí Omezená nastavení systému Android 13 je způsob jejich vynucování. Místo toho, aby se rozlišovalo na základě toho, jaká instalační rozhraní byla použita, rozšířený potvrzovací režim v Androidu 15 zkontroluje seznam povolených balíčků, který je předem načtený v systému. Tento seznam je soubor XML umístěný v cestě Androidu 15 a určuje, které balíčky a instalační programy jsou vyloučeny z jakýchkoli omezení.

Android povoluje omezené nastaveníAndroid povoluje omezené nastavení

Všechny balíčky, které jsou explicitně povoleny v souboru XML, jsou považovány za důvěryhodné balíčky a jsou vyňaty z omezení. Podobně jsou všechny instalační programy, které jsou uvedeny v souboru XML, považovány za důvěryhodné instalační programy, což znamená, že aplikace, které pak nainstalují, mají nárok na výjimku z omezení rozšířeného potvrzovacího režimu. Aplikace nainstalovaná důvěryhodným instalačním programem je osvobozena od omezení, pokud je označena jako pocházející z důvěryhodného zdroje balíčků.

To znamená, že uživatelé budou nuceni zobrazit dialogové okno Rozšířený potvrzovací režim, pokud se pokusí povolit službu usnadnění nebo oznámení za předpokladu, že aplikace pochází z nedůvěryhodného instalačního programu nebo nedůvěryhodného zdroje. To by účinně uzavřelo mezeru, která existovala ve funkci Omezená nastavení Androidu 13, což by škodlivým aplikacím třetích stran ztížilo získání vysoce privilegovaných oprávnění.

Bohužel není jisté, zda bude stále možné povolit legitimní službu usnadnění nebo oznámení aplikace načtené sideloadingem, pokud bude zasažena omezeními rozšířeného potvrzovacího procesu. Pro aplikaci je možné zakázat Omezená nastavení, takže by to mělo být možné i s Rozšířenými omezeními, ale není to jisté, protože se zatím nepodařilo tuto funkci v Androidu 15 zprovoznit.

Instalujete aplikace mimo Google Play?

Zdroj: Android Authority

Libor Foltýnek
O Autorovi - Libor Foltýnek

Libor Foltýnek je redaktor s rozsáhlými zkušenostmi v oblasti technologií a fotografie. Jeho práce je charakterizována důkladným výzkumem, poutavým vyprávěním a praktickými radami, které zpřístupňují… více o autorovi

Mohlo by vás zajímat

Komentáře (0)