- Dołączył
- 26 Maj 2015
- Posty
- 19182
- Reakcje/Polubienia
- 55810
Cały artykuł:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Android: Kolejne badanie podważa efektywność uprawnień
- Autor tematu Grandalf
- Rozpoczęty
Nom, zezwolenia bardzo latwo obejsc... dlatego poslugujemy sie zestawem, np:
1. wylaczamy zezwolenia starym dobrym permissions denied (com.stericson.permissions), ostatnia wersja 3.7 z 2013 roku, wymaga roota na SuperSU zeby dzialala. nieobecna z oczywistych wzgledow na google play;
2. My android tools (obecna wersja to 1.6.9 beta, to samo co powyzej.
Dlaczego? Dlatego ze apki, jak pisze artykul (i sam test) niejako "obchodza" zestaw zezwolen za pomoca systemu uslug (services), broadcast receiverow oraz content providerow.
Czym to sie je? Np. (przyklad z palca, nie sadze zeby byl aktualnie realny ale nie moge wykluczyc ze istnieje/bedzie istnial) powiedzmy ze Google Play ma dostep do danych karty uzywanej jako srodka platnosci w Sklepie Play. Zalpzmy ze jest to jakas tam wartosc danych, ktora Sklep Google dzieli sie w ramach przekazania srodka platnosci z Google/Android Pay i/lub kontem Google w ramach content provider.
Zalozmy teraz ze aplikacja Pokaz Szczery Usmiech Cycatych Azjatek ma wbudowany zobfuskowany broadcast receiver nacelowany wlasnie na to. Nic prostszego niz potem wyslac to do Janusha Businessu, ktory zbiera na lisa dla Grazynki (oczywiscie to najprostszy scenariusz bo apka musi miec dostep do sieci zeby dzialac wiec nie trzeba obchodzic FW).
Jak sie bawic zestawem? Za dlugo pisac, a jak wiecie (ci co przeczytali ten tekst jako pierwszy moj dla Nich jeszcze nie, ale ta niewiedza niepotrwa dlugo) jestem cholernie leniwy wiec posluze sie przykladem:
w ktorym zablokowano pare mniej fascynujacych aspektow GoogleSpy Play.
A, bylbym zapomnial: zaleca sie ostroznosc, posiadanie backupu danych i umiejetnosc sflashowania ROMu bo przy bardziej entuzjastycznych probach fon moze miec problemy z wstaniem przy boocie, a reboot jest zalecany po wprowadzeniu KAZDEJ zmiany. Tak, wiem ze jest to upierdliwe podejscie ale pozwala nader latwo wylapac ktora zmiana powoduje "uwalenie" fonu.
wiec tradycyjny DISCLAIMER:
nie wiem nie znam sie, jak uwalicie sobie fon to wgrajcie sobie ROM we wlasnym zakresie. Tak, rootowanie fona jest wymagane, tak, MOZE (choc nie powinno) spowodowac utrate gwarancji oraz NA PEWNO spowoduje brak poprawnej pracy pewnych aplikacji (KNOX, niektore apki bankowe, platnosciowe itp.). Nie moja wina ze aby np. placic telefonem "za darmo" trzeba zgodzic sie na szpiegowanie a jak wiemy: jesli Google/Samsung/Huawei otworzy drzwi do szpiegowania to z radoscia skorzystaja z nich wszyscy ktorzy potrafia sie przecisnac.
1. wylaczamy zezwolenia starym dobrym permissions denied (com.stericson.permissions), ostatnia wersja 3.7 z 2013 roku, wymaga roota na SuperSU zeby dzialala. nieobecna z oczywistych wzgledow na google play;
2. My android tools (obecna wersja to 1.6.9 beta, to samo co powyzej.
Dlaczego? Dlatego ze apki, jak pisze artykul (i sam test) niejako "obchodza" zestaw zezwolen za pomoca systemu uslug (services), broadcast receiverow oraz content providerow.
Czym to sie je? Np. (przyklad z palca, nie sadze zeby byl aktualnie realny ale nie moge wykluczyc ze istnieje/bedzie istnial) powiedzmy ze Google Play ma dostep do danych karty uzywanej jako srodka platnosci w Sklepie Play. Zalpzmy ze jest to jakas tam wartosc danych, ktora Sklep Google dzieli sie w ramach przekazania srodka platnosci z Google/Android Pay i/lub kontem Google w ramach content provider.
Zalozmy teraz ze aplikacja Pokaz Szczery Usmiech Cycatych Azjatek ma wbudowany zobfuskowany broadcast receiver nacelowany wlasnie na to. Nic prostszego niz potem wyslac to do Janusha Businessu, ktory zbiera na lisa dla Grazynki (oczywiscie to najprostszy scenariusz bo apka musi miec dostep do sieci zeby dzialac wiec nie trzeba obchodzic FW).
Jak sie bawic zestawem? Za dlugo pisac, a jak wiecie (ci co przeczytali ten tekst jako pierwszy moj dla Nich jeszcze nie, ale ta niewiedza niepotrwa dlugo) jestem cholernie leniwy wiec posluze sie przykladem:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
w ktorym zablokowano pare mniej fascynujacych aspektow Google
A, bylbym zapomnial: zaleca sie ostroznosc, posiadanie backupu danych i umiejetnosc sflashowania ROMu bo przy bardziej entuzjastycznych probach fon moze miec problemy z wstaniem przy boocie, a reboot jest zalecany po wprowadzeniu KAZDEJ zmiany. Tak, wiem ze jest to upierdliwe podejscie ale pozwala nader latwo wylapac ktora zmiana powoduje "uwalenie" fonu.
wiec tradycyjny DISCLAIMER:
nie wiem nie znam sie, jak uwalicie sobie fon to wgrajcie sobie ROM we wlasnym zakresie. Tak, rootowanie fona jest wymagane, tak, MOZE (choc nie powinno) spowodowac utrate gwarancji oraz NA PEWNO spowoduje brak poprawnej pracy pewnych aplikacji (KNOX, niektore apki bankowe, platnosciowe itp.). Nie moja wina ze aby np. placic telefonem "za darmo" trzeba zgodzic sie na szpiegowanie a jak wiemy: jesli Google/Samsung/Huawei otworzy drzwi do szpiegowania to z radoscia skorzystaja z nich wszyscy ktorzy potrafia sie przecisnac.
Podobne tematy:
