Es ist erstaunlich, wie sehr die Menschen vorgeblichen Fakten vertrauen, die ihnen durch Medien und Marketing vorgesetzt werden. Ein typisches Beispiel dafür ist die sogenannte Sicherheitsarchitektur von Android.
Dann wurden die Privilegien in Gruppen zusammengafasst - der Anwender musste nun nur noch der Vergabe der Gruppen zustimmen, ohne genau zu wissen, welche Privilegien sich hinter den einzelnen Gruppen verbargen.
Außerdem wird bei Updates jetzt nur noch darüber informiert, welche zusätzlichen Privilegien die App benötigt - der Anwender wird nicht mehr daran erinnert, was er der App schon gegeben hat. Das macht den hier beschriebenen Angriff noch viel einfacher, als er es sowieso schon ist.
Dabei müsste jedem klar sein, der ein Mobiles Gerät in die Hand nimmt um mehr damit zu tun, als zu telefonieren, dass die Apps untereinander Informationen austauschen: Jeder hat schon mal einen Link aus dem Browser heraus mit anderen getauscht oder eine Notiz exportiert oder per EMail verschickt. In jedem dieser Fälle und in unzähligen mehr arbeiten zwei Apps zusammen an der Umsetzung einer Anforderung.
Daher kann man sich nicht sicher sein, dass kein Unfug mit den Kontaktdaten getrieben wird, nur weil die App, die diese Erlaubnis haben möchte, nicht gleichzeitig die für die Kommunikation über das Internet haben möchte: Sie kann so programmiert sein, dass sie einfach einer anderen App mittels eines Intents interessante Daten zukommen lässt, die diese dann verschickt. Diese andere App ist auch als sicher eingestuft worden, da sie zwar Verbindung übers Internet aufnimmt, aber keinen Zugriff auf Daten aus dem Telefonbuch haben möchte. Jede der Apps für sich genommen, würde es nicht schaffen, sensible Daten aus dem Gerät auszuschleusen - beide in Kooperation aber schon! Und eine App braucht keine Erlaubnis, um Daten mit anderen austauschen zu können, beziehungsweise Intents von anderen Apps aufzurufen...
Ticketsysteme sind lebende Wesen
29.03.2020
Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...
WeiterlesenEs wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...
WeiterlesenEs kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.
WeiterlesenManche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.