Ny säkerhetsbrist

App utan rättigheter kan också spionera

En Android-app som inte begär några rättigheter och heller inte utnyttjar andra appar kan ändå komma åt filer på minneskortet och sprida informationen på nätet, enligt en säkerhetsexpert.

Publicerad Senast uppdaterad

Appen med det passande namnet NoPermissions har skapats av Paul Brodeur på säkerhetsföretaget Leviathan Security Group. Appen, som kan laddas ner här, begär inte några rättigheter när den installeras på telefonen. Inte heller är den beroende av andra appar genom att i smyg utnyttja den åtkomst som de andra apparna har till olka delar av systemet, en metod som tidigare visat sig vara framgångsrik för den som vill komma åt känslig information i Android-mobiler.

En begräsning när det gäller den här appens förmåga att spionera är att den bara kan komma åt filer som finns på minneskortet, men det kan vara tillräckligt i vissa fall. Att en angripare får tillgång till bilder som tagits med mobilen innebär inte bara att själva bilderna kan spridas, utan även tidpunkter och platser där bilderna har tagits.

Enligt Brodeur hittade han själv ett certifikat för en VPN-anslutning som han använde sig av bland filerna på minneskortet.

Appen utan rättigheter ska också ha kunnat samla in information om vilken Android-version eller Custom ROM som finns installerad på telefonen, samt vilka appar som finns installerade på minneskortet och mappstrukturen för dessa, information som kan användas för att gå vidare och leta efter potentiell känslig information som lagrats av apparna.

Man skulle kunna tro att en app utan några rättigheter bara skulle kunna samla in den här information men sedan inte kunna koppla upp sig för att skicka den till en angripare. Men som tidigare har visats kan även appar utan rättigheter öppna telefonens webbläsare och den vägen få kontakt med en server och Brodeur uppger att han hittat ett sätt att koppla upp sig många gånger efter varandra och på så sätt även kunna ladda upp stora mängder data.