Der Sicherheitsexperte Paul Brodeur von der Leviathan Security Group hat herausgefunden, dass Android Apps auch ohne Berechtigungen auf sensible Daten zugreifen können. Dazu hat er eine sogenannte „No Permissions App“, also eine Anwendung die keine speziellen Berechtigungen benötigt, erstellt. Mit dieser App kann er die Verzeichnisse der SD Karte durchsuchen und bekommt eine Liste aller nicht versteckten Dateien geliefert. Außerdem ist es ihm möglich mit dieser Anwendung die Datei /data/system/packages.list zu öffnen und dadurch eine Liste aller installierten Anwendungen auf dem Gerät zu schreiben und anzuzeigen.
Selbst die Geräte-Identifikation ist von Brodeurs Anwendung nicht sicher, denn dem Entwickler ist es gelungen, diese mit seiner Software auszulesen, obwohl seine Anwendung nicht die nötigen Berechtigungen besitzt. Mithilfe der Geräte-Identifikation bekommt man auf Wunsch Informationen zum Netzbetreiber des Smartphones. Die Anwendung wurde unter Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread getestet und kann kostenlos von seinem Blog heruntergeladen werden: leviathansecurity.com
Quelle: leviathansecurity.com