Oppo Kash, приложение для оказания финансовых услуг, которое китайская компания, наиболее известная в Индии своими смартфонами, запустила здесь в начале этого года, запрашивает у пользователей root-доступ на своих телефонах Android, что даст ему полный контроль над устройствами, заявил исследователь безопасности. , Хорошая новость – возможности для неправомерного использования ограничены, поскольку root-доступ можно получить только на устройствах, которые уже внедрены или изменены пользователями через бессистемный корневой процесс. Плохая новость – если вы используете рутированный телефон Android, это может дать Oppo Kash полный контроль над телефоном, который находится в ваших руках.
Охотник за ошибками Атул Джаярам обнаружил проблему, случайно просматривая Google Play на рутированном телефоне. После установки приложения он заметил, что приложение Oppo Kash запрашивает права суперпользователя. Это показалось ему странным, так как большинство популярных приложений не имеют таких требований.
Сначала он обратился к разработчикам Oppo Kash через Oppo Security Response Center, Оппо сказал ему, что рассматривает проблему как «не представляющую опасности», но он не согласился и указал, что финансовое приложение, такое как Оппо Каш, не должно запрашивать root-доступ в любом случае. «Намерение разработчиков приложений и компании не является правильным», – сказал он China-Phone после получения этого ответа.
Oppo, отвечая на вопросы China-Phone, заявила, что использует root-доступ в приложении Oppo Kash для обеспечения повышенной безопасности пользователей.
«Информация о пользователях может быть получена в результате злонамеренного действия других приложений, когда приложение работает на корневом устройстве. Чтобы лучше гарантировать безопасность информации и имущества пользователей OPPO Kash, а также безопасность платежей, наш продукт имеет код для обнаружения экологической безопасности. Цель этого кода – определить, есть ли у текущего устройства root-права, чтобы избежать возможного неблагоприятного воздействия на безопасность информации и собственности пользователей. Именно этот механизм безопасности может привести к недоразумению », – сказал Зафар Имам, ведущий Оппо Каш, в подготовленном заявлении.
Джайрам подверг сомнению это утверждение и сказал: «Получение root-доступа на Android – это процесс изменения операционной системы, поставляемой с вашим устройством, для получения полного контроля над ним».
Однако консультант по кибербезопасности Эндрю Тирни сказал, что серьезность этой проблемы зависит от того, что делается. Он сказал: «В некоторых приложениях есть код, который пытается запустить команду root – если она работает, значит, он знает, что у телефона есть root-права. Это называется обнаружением root-прав или обнаружением взлома. Я не думаю, что приложение будет запрашивать root-права. доступ «.
Корневой доступ означает доступ ко всем данным на вашем телефоне
Tierney, который недавно был в новостях для своего исследования о том, как телефоны Xiaomi собирают пользовательские данные, сказал China-Phone, что как только разработчик получит root-доступ через приложение, разработчик сможет получить доступ к любым данным, хранящимся в файловой системе телефона. «Есть некоторые крошечные исключения из этого, но они могут перехватить весь трафик, посмотреть все фотографии», – сказал он.
Tierney также упомянул, что не должно быть никаких причин для корневого доступа, кроме как для проверки работы приложений.
«У платежного приложения нет веских причин запрашивать root», – подчеркнул он. «Обычное приложение может запрашивать разрешения, взаимодействовать с NFC, подключаться, запускать процессы, читать контакты. Root предоставляет вам доступ к данным, хранящимся в других приложениях, включая ваши фотографии, сообщения, электронные письма, любые пароли. Он также позволяет вам установить собственный корневой сертификат и перехватывать трафик браузера ».
Однако Тирни также отметил, что это применимо только в том случае, если пользователь использует рутированный телефон. Он сказал, что на телефоне без рутирования каждое приложение работает в изолированной песочнице.
Oppo Kash запрашивает привилегии суперпользователя на рутованных телефонах
Ранее другие компании, в том числе Paytm и Facebook, также были приглашены для запроса этого уровня доступа с пользовательских устройств. Paytm был вызван в Twitter для запроса корневого доступа, и заявил, что это требуется Национальным платежным советом Индии (NPCI) в качестве части платформы унифицированного интерфейса платежей. Однако после вызова приложение перестало запрашивать root-доступ отчеты с того времени.
Тем временем Facebook запускал приложение VPN и платил пользователям за его использование. Взамен Facebook получал доступ ко всем своим данные пользователя – в результате чего Apple отозвана Сертификат разработчика Facebook в App Store.
У Oppo Kash есть почти две загрузки
Доступны для скачать через Google Play приложение Oppo Kash уже скачало более 1,84 000 раз. Приложение также должно было быть предустановлено на всех телефонах Oppo, хотя оно не является частью предустановленных приложений на некоторых из последних телефонов Oppo, включая Reno 4 Pro.
Предварительно загруженные приложения на смартфоны в прошлом подвергались тщательной проверке, поскольку их не всегда легко удалить или отключить. Технический руководитель группы безопасности Android Мэдди Стоун рассказала, как предустановленные приложения на устройствах Android могут подорвать конфиденциальность пользователей, в то время как Говорящий на BlackHat USA, 2019.
Более 50 активистов по защите конфиденциальности прислали Открой письмо Google в начале этого года, попросив компанию сделать больше для защиты конфиденциальности пользователей Android. Это проблема, которая чаще всего затрагивает более дешевые устройства, и поэтому она также более распространена в таких странах, как Индия.
Приложение Oppo Kash было запущено в марте как «универсальное решение» компании для предоставления финансовых услуг, включая инвестиции в паевые инвестиционные фонды, персональные кредиты, бизнес-кредиты и даже страхование экрана.
Компания Oppo представила свое решение всего через несколько месяцев после того, как ее родная компания Realme представила приложение Realme PaySa на индийском рынке. И Oppo Kash, и Realme PaySa работают на дочерней финтех-компании Oppo FinShell. Тем не менее, Джаярам подтвердил China-Phone, что проблема с доступом к корневому каталогу недоступна в предложении Realme.
Приложение Oppo Kash также является ответом на Mi Credit от Xiaomi, который был возобновлен в декабре. Джаярам сказал China-Phone, что приложение Mi Credit не требует root-доступа и работает без прав суперпользователя на рутированном телефоне.
Получит ли WhatsApp в 2020 году потрясающую функцию, которую ждет каждый индиец? Мы обсуждали это на Orbital, нашем еженедельном технологическом подкасте, на который вы можете подписаться через Apple Podcasts или RSS, скачать эпизодили просто нажмите кнопку воспроизведения ниже.
,
Добавить комментарий