Инженеры нашли новую уязвимось в Android.
Спецалисты по компьютерной безопасности нашли способ отследить любое устройство на Android.
Компания Nightwatch Cybersecurity нашла уязвимость, которая позволяет приложениям игнорировать разрешения на получение системной информации, сообщается на официальном сайте компании.
Системные трансляции с ОС Android предоставляют информацию о устройстве пользователя для всех приложений, запущенных на устройстве. Данные включают в себя имя сети WiFi, BSSID, локальные IP-адреса, информацию DNS-сервера и MAC-адрес.
Часть этой информации (MAC-адрес) больше не доступна через API на Android 6 и выше, и для доступа к остальной части этой информации обычно требуются дополнительные разрешения. Однако, прослушивая эти передачи, любое приложение на устройстве может захватывать эту информацию, минуя проверки разрешений.
Поскольку MAC-адреса не изменяются и привязаны к оборудованию, это может использоваться для уникальной идентификации и отслеживания любого устройства Android. Имя сети и BSSID можно использовать для привязки пользователей к геолокации с помощью поиска по базе данных BSSID, такой как WiGLE или SkyHook.
Уязвимость связана с внутренней функцией Android под названием intents. Данная функция позволяет приложениям и самой ОС рассылать внутренние сообщения, доступные для чтения всеми приложениями и функциями на Android-устройстве. Установленные на устройстве приложения могут прослушивать эти intents и перехватывать связанную с Wi-Fi информацию.
Google уже устранила эту уязвимость в новой версии ОС — Android 9.0 Pie. Однако, она пока установлена менее чем на 0,1% устройств Android.