Η εφαρμογή μπορεί να έχει πρόσβαση στο περιεχόμενο της κάρτας SD ενός κινητού τηλεφώνου, στα δεδομένα από διάφορες εφαρμογές και να «ανεβάζει» ευαίσθητα δεδομένα χωρίς να απαιτεί δικαιώματα χρήστη.
Η λειτουργία για τα δικαιώματα χρήστη (Permissions) ήταν ένα σύστημα ασφάλειας για τα κινητά τηλέφωνα Android,που απαιτούσε από τις εφαρμογές να ζητούν από τους χρήστες δικαιώματα πρόσβασης σε περιεχόμενα του τηλεφώνου, όπως δεδομένα επαφών και επιβεβαιώση εξερχόμενων επικοινωνιών.
Η εφαρμογή του ερευνητή περιλαμβάνει 3 επιλογές, που παρουσιάζουν τις αδυναμίες στο σύστημα διαχείρισης δικαιωμάτων.
Η μία από αυτές μπορούσε να αναγνώσει και να κοινοποιήσει αυτοματοποιημένα μια λίστα από τα ορατά αρχεία που είναι αποθηκευμένα στην κάρτα SD ενός κινητού τηλεφώνου, όπως αντίγραφα ασφαλείας, φωτογραφίες και άλλες ρυθμίσεις.
Χρησιμοποιώντας την εφαρμογή αυτή, ο ερευνητής εντόπισε πιστοποιητικά για OpenVPN (χρήση για απομακρυσμένη πρόσβαση) στην κάρτα αποθήκευσης ανυποψίαστου χρήστη.
Πηγή: Secnews.gr
