Es ist erstaunlich, wie sehr die Menschen vorgeblichen Fakten vertrauen, die ihnen durch Medien und Marketing vorgesetzt werden. Ein typisches Beispiel dafür ist die sogenannte Sicherheitsarchitektur von Android.
Dann wurden die Privilegien in Gruppen zusammengafasst - der Anwender musste nun nur noch der Vergabe der Gruppen zustimmen, ohne genau zu wissen, welche Privilegien sich hinter den einzelnen Gruppen verbargen.
Außerdem wird bei Updates jetzt nur noch darüber informiert, welche zusätzlichen Privilegien die App benötigt - der Anwender wird nicht mehr daran erinnert, was er der App schon gegeben hat. Das macht den hier beschriebenen Angriff noch viel einfacher, als er es sowieso schon ist.
Dabei müsste jedem klar sein, der ein Mobiles Gerät in die Hand nimmt um mehr damit zu tun, als zu telefonieren, dass die Apps untereinander Informationen austauschen: Jeder hat schon mal einen Link aus dem Browser heraus mit anderen getauscht oder eine Notiz exportiert oder per EMail verschickt. In jedem dieser Fälle und in unzähligen mehr arbeiten zwei Apps zusammen an der Umsetzung einer Anforderung.
Daher kann man sich nicht sicher sein, dass kein Unfug mit den Kontaktdaten getrieben wird, nur weil die App, die diese Erlaubnis haben möchte, nicht gleichzeitig die für die Kommunikation über das Internet haben möchte: Sie kann so programmiert sein, dass sie einfach einer anderen App mittels eines Intents interessante Daten zukommen lässt, die diese dann verschickt. Diese andere App ist auch als sicher eingestuft worden, da sie zwar Verbindung übers Internet aufnimmt, aber keinen Zugriff auf Daten aus dem Telefonbuch haben möchte. Jede der Apps für sich genommen, würde es nicht schaffen, sensible Daten aus dem Gerät auszuschleusen - beide in Kooperation aber schon! Und eine App braucht keine Erlaubnis, um Daten mit anderen austauschen zu können, beziehungsweise Intents von anderen Apps aufzurufen...
Keycloak und LDAP
11.07.2021
Nachdem ich neulich bereits über die erfolgreiche Kopplung zwischen Keycloak und LDAP berichtete, bin ich noch einige Schritte weitergegangen...
WeiterlesenAI und ML Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich habe bereits vor einiger Zeit eine Möglichkeit präsentiert, SBOMs aus alten Java-Projekten zu erstellen. Ich bin neulich einer speziellen Form von Java-Projekten begegnet, die mich dazu bewogen hat, mich auch hierfür an der (nachträglichen) Erstellung einer SBOM zu versuchen...
WeiterlesenIch habe eine weitere Alternative zum Aufnehmen von Notizen in meinen Docker-Zoo aufgenommen
WeiterlesenIch habe wieder einmal im Urlaub grundlegende Architekturänderung in meinem Framework, das auch die Grundlage für die sQLshell und dWb+ darstellt vorgenommen.
WeiterlesenManche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.