Android 15 może jeszcze bardziej utrudnić aplikacjom pobieranym z boku uzyskanie wrażliwych uprawnień

TL;DR

• W Androidzie 15 może zostać wprowadzony nowy ulepszony tryb potwierdzenia, który utrudni złośliwym aplikacjom wykorzystanie luki w systemie operacyjnym.
• Android uniemożliwia użytkownikom łatwe włączanie usług ułatwień dostępu lub odbiornika powiadomień w aplikacjach pobranych spoza sklepu z aplikacjami.
• Jednak metoda stosowana w tym celu przez Androida ma lukę, którą Android 15 zamknie.

Chociaż większość użytkowników Androida pobiera aplikacje z fabrycznie załadowanych sklepów z aplikacjami, takich jak Google Play, niektórzy użytkownicy pobierają je z alternatywnych źródeł internetowych – jest to praktyka zwana sideloadingiem. Jest to możliwe, ponieważ Android pozwala użytkownikom instalować aplikacje innych firm bez Sklepu Google Play, pod warunkiem, że uzyskają niezbędne pliki instalacyjne aplikacji. Możliwość swobodnego pobierania aplikacji w dużej mierze sprawia, że ​​Android jest bardziej otwartą platformą niż iOS. Niestety jest to również powód, dla którego ludzie błędnie uważają, że Android jest mniej bezpieczny niż iOS.

Dzieje się tak, ponieważ niezależnie od tego, skąd pozyskujesz aplikacje, wbudowane funkcje prywatności i bezpieczeństwa Androida sprawiają, że nie będą one mogły uzyskać dostępu do wrażliwych uprawnień bez Twojej zgody. Prawdą jest jednak, że pobieranie aplikacji z alternatywnych źródeł internetowych niesie ze sobą nieco większe ryzyko dla przeciętnego użytkownika w porównaniu do korzystania z Google Play. Dzieje się tak dlatego, że złośliwym programistom po prostu łatwiej jest dystrybuować aplikacje poza Google Play, ponieważ nie muszą oni zmagać się z przepisami, biurokracją i kontrolą związaną z dystrybucją aplikacji w Google Play.

Złośliwe aplikacje na Androida, niezależnie od tego, skąd pochodzą, często próbują oszukać użytkowników, aby przyznali im dostęp do interfejsów API ułatwień dostępu i odbiorników powiadomień ze względu na ich możliwości. Interfejs API ułatwień dostępu umożliwia aplikacjom odczytywanie zawartości ekranu, a także wprowadzanie danych w imieniu użytkownika, natomiast interfejs API odbiornika powiadomień umożliwia aplikacjom odczytywanie dowolnego powiadomienia lub podejmowanie działań w związku z nim. Te interfejsy API można wykorzystać do oszustw reklamowych, kradzieży haseł jednorazowych (OTP), instalowania dodatkowych ładunków i wykonywania wielu, wielu innych czynności.

Chociaż Google Play ma pewne (głównie biurokratyczne) środki zapewniające, że te interfejsy API są wykorzystywane zgodnie z ich przeznaczeniem, sam Android opiera się głównie na własnych deklaracjach aplikacji, aby zdecydować, jaki poziom dostępu przyznać. Na przykład począwszy od Androida 13 system operacyjny uniemożliwia użytkownikom łatwe włączanie usług ułatwień dostępu lub odbiornika powiadomień w aplikacjach, które zostały pobrane spoza sklepu z aplikacjami. Jeśli, powiedzmy, odsuniesz aplikację wysłaną do Ciebie e-mailem, Android uniemożliwi Ci włączenie usługi Dostępność lub Odbiornika powiadomień tej aplikacji, ponieważ są one oznaczone jako „ustawienia z ograniczeniami”.

Skąd system operacyjny wie, kiedy aplikacje są pobierane spoza sklepu z aplikacjami? Określa to na podstawie tego, czy aplikacja, która dokonała instalacji, korzystała z interfejsów API instalacji opartych na sesjach systemu Android (które są powszechnie, ale nie wyłącznie używane w sklepach z aplikacjami) w porównaniu z interfejsami API instalacji systemu Android nieopartymi na sesji (które są powszechnie używane przez menedżery plików , przeglądarki internetowe i inne aplikacje z ogólną obsługą pobierania plików). Problem z tym podejściem polega na tym, że każda aplikacja może wykorzystywać interfejsy API instalacji Androida oparte na sesjach do bocznego ładowania innej aplikacji, co oznacza, że ​​nie ma gwarancji, że legalny sklep z aplikacjami innej firmy to faktycznie ten, który wykonuje ładowanie boczne. Twórcy złośliwych aplikacji niestety dostrzegli tę lukę w funkcji Ograniczonych ustawień systemu Android i już ją wykorzystują do ominięcia tej funkcji zabezpieczeń.

Na szczęście Google pracuje nad zamknięciem tej oczywistej luki w funkcji Ograniczonych ustawień Androida. W systemie Android 15 firma przygotowuje się do wprowadzenia nowej funkcji „Ulepszonego trybu potwierdzenia”, która jest w zasadzie ściślejszą, bardziej udoskonaloną wersją ustawień z ograniczeniami. Chociaż funkcja ulepszonego trybu potwierdzenia nie jest jeszcze włączona w najnowszej aktualizacji Androida 15 Beta 1.1, przeanalizowałem kod i szczegółowo wyjaśniłem, jak będzie działać.

Na początek sformułowania w oknie dialogowym Ulepszonego trybu potwierdzenia są bardzo zbliżone do istniejącego okna dialogowego Ustawienia z ograniczeniami. Podobnie jak w przypadku ustawień z ograniczeniami, w oknie dialogowym ECM pojawi się informacja „ze względów bezpieczeństwa to ustawienie jest obecnie niedostępne”, gdy spróbujesz włączyć usługę dostępności lub odbiornika powiadomień aplikacji. Jednak okno dialogowe nieco rozszerzy uzasadnienie, dodając informację, że „ta aplikacja zażądała pozwolenia %1$s, co jest ustawieniem ograniczonym, ponieważ może zagrozić Twojemu bezpieczeństwu i prywatności. Ograniczenie tego uprawnienia może uniemożliwić działanie tej aplikacji.” Poza tym reszta dialogu jest taka sama, łącznie z tytułem i dwoma przyciskami.

Jedną z kluczowych różnic między nowym ulepszonym trybem potwierdzenia w Androidzie 15 a funkcją Ograniczonych ustawień w Androidzie 13 jest sposób ich egzekwowania. Zamiast rozróżniać na podstawie użytych interfejsów API instalacji, rozszerzony tryb potwierdzenia w systemie Android 15 sprawdza listę dozwolonych, która jest wstępnie załadowana w obrazie fabrycznym. Ta lista dozwolonych to plik XML znajdujący się w folderze /system/etc/sysconfig path systemu Android 15 i określa, które pakiety i instalatory są zwolnione z jakichkolwiek ograniczeń.

Wszelkie pakiety, które są wyraźnie dozwolone w pliku XML, są uważane za „zaufane pakiety” i są zwolnione z ograniczeń ECM. Podobnie wszyscy instalatorzy wymienieni w pliku XML są uznawani za „zaufanych instalatorów”, co oznacza, że ​​instalowane przez nich aplikacje kwalifikują się do zwolnienia z ograniczeń ECM. Aplikacja zainstalowana przez „zaufanego instalatora” jest zwolniona z ograniczeń ECM, jeśli jest oznaczona jako pochodząca z „godnego zaufania” źródła pakietu (tj. nie jest oznaczona jako PACKAGE_SOURCE_DOWNLOADED_FILE złoto PACKAGE_SOURCE_LOCAL_FILE).

Oznacza to, że użytkownicy będą zmuszeni wyświetlić okno dialogowe Ulepszony tryb potwierdzenia, jeśli spróbują włączyć usługę dostępności lub odbiornika powiadomień aplikacji, pod warunkiem, że aplikacja pochodzi z niezaufanego instalatora lub niezaufanego źródła. To skutecznie zamknęłoby lukę istniejącą w funkcji Ograniczone ustawienia Androida 13, utrudniając złośliwym aplikacjom innych firm uzyskanie wysoce uprzywilejowanych uprawnień.

Niestety nie jestem pewien, czy nadal możliwe będzie włączenie usługi dostępności lub odbiornika powiadomień legalnej, pobranej z boku aplikacji, jeśli zostanie ona dotknięta ograniczeniami ECM. Możliwe jest wyłączenie ustawień z ograniczeniami dla aplikacji, więc powinno być to również możliwe w przypadku ograniczeń ECM, ale nie mogę tego stwierdzić na pewno, ponieważ nie udało mi się jeszcze uruchomić tej funkcji w systemie Android 15.

Warto również zauważyć, że obecnie system zezwala na zerowe pakiety i instalatory od Androida 15 Beta 1.1. Jeśli ECM byłoby włączone, oznaczałoby to, że wszystkie aplikacje byłyby zwolnione z ograniczeń ECM, z wyjątkiem tych oznaczonych jako pochodzące z niezaufanego źródła. Ponieważ jednak funkcja ECM nie jest włączona i nie ma żadnych dozwolonych instalatorów ani pakietów, nie mam żadnych informacji o tym, jak Google planuje używać tej funkcji. Czy Google będzie wymagać, aby Sklep Play był wymieniony jako zaufany instalator na wszystkich urządzeniach z Androidem? Które (jeśli w ogóle) zewnętrzne sklepy z aplikacjami zostaną dodane do listy dozwolonych przez Google i producentów OEM? To pytania, na które nie znam odpowiedzi, ale mimo wszystko cieszę się, że Google podejmuje działania mające na celu poprawę bezpieczeństwa w Androidzie i nie mogę się doczekać, aby poznać więcej szczegółów na temat ulepszonego trybu potwierdzania w Androidzie 15.