Mise a jour de Protektoid : affichage des permissions héritées, une foncionnalité Android cachée

Mise a jour de Protektoid : affichage des permissions héritées, une fonctionnalité cachée

Android possède la capacité de définir des applications dites partagées. Dans cet article, nous expliquons succinctement ce concept, les conséquences sur votre vie privée et comment Protektoid vous permet de le prendre en compte.

Présentation du concept

Courte note technique

Les applications d'un même éditeur peuvent être groupées au sein d'un même "utilisateur système", défini par son UID. Ainsi, deux applications peuvent alors partager automatiquement leurs données voir même leur informations en cours d'exécution. La méthode utilisée repose sur le concept Android de SharedUserID.

Deux applications A et B ayant le même SharedUserId et éditées par la même société partagent également leurs informations de sécurité et notamment les permissions.

Avant Marshmallow, ce partage des droits était affiché au niveau des informations de chaque applications. Ce n'est plus le cas (en tout cas pas à la date d'aujourd'hui, 12 juillet 2017).

Conséquences sur votre vie privée

De notre point de vue, les conséquences sont potentiellement importantes :

  1. il n'est pas possible de savoir simplement si deux applications sont produites par la même société, sauf en utilisant des applications spécifiques
  2. les informations affichées par le systeme ne sont plus forcément de confiance et il n'est donc plus exactement possible de savoir quelles sont les permissions obtenues par une application
  3. la plupart des applications de sécurité ignorent (volontairement ?) ce concept de permissions héritées

Un exemple  : si A demande Internet et B demande accès aux Contacts, alors A et B peuvent envoyer vos contacts sur Internet. Alors que A n'affiche que la permission Internet et B n'affiche que la permission Contact.

Prise en charge par Protekoid

Comment activer le contrôle des permissions héritées sur Protektoid

Activation de l'affichage des permissions héritées L'activation de cet affichage des permissions héritées se fait au niveau des paramètres de Protektoid.  Il vous suffit donc d'aller dans "Paramètres", descendre au niveau des options avancées et cocher sur NON a coté de "Afficher les permissions héritées" pour voir le bouton devenir "OUI".

Nous avons par défaut activer cette option, étant donné que nous la considérons comme importante.

Comment Protektoid vous permet de contrôler l’héritage de permissions

Affichage des permissions héritées Après avoir activé l'affichage des permissions partagées, ces permissions sont désormais affichées sur la page de chaque application concernée. En reprenant notre exemple, l'affichage de l'application A montrera que A à accès aux Contacts via l'application B.

L'image suivante montre un exemple d'un cas concret rencontré.

Bien entendu, la question suivante est "que faire ensuite ?".

Actuellement, Android ne permet pas de désactiver des permissions obtenues depuis une autre application. Protektoid vous permet cependant de

  1. indiquer une permission partagée comme indésirable
  2. savoir depuis quelle application une permission est obtenue, afin d'éventuellement la désactiver directement (par exemple désactiver Contact depuis B)

Explications annexes, lors de notre participation à la conférence NDH XV (Nuit du Hack 2017)

Si vous souhaitez obtenir plus de détails, n'hésitez pas à consulter le site de la Nuit Du Hack, https://nuitduhack.com/fr, ou à nous contacter ! La vidéo de notre intervention ainsi que les transparents seront disponibles sous peu. Les sujets abordés, outre un ensemble d'explications techniques, sont notamment la prise en charge par Android et la situation du marché.

Les slides de la conférence sont également disponible sur https://lab.protektoid.com/public/assets/ndh2017.pdf.

Au niveau d'Android, il est important de comprendre que ce choix de ne pas afficher les permissions héritées a de multiples conséquences, tant au niveau des informations système que des informations mises a dispositions des applications tierces, telles les applications de sécurité. Seule notre analyse avancée du code source Android nous a permis de détecter, comprendre, et mettre en place une méthode nous permettant de récupérer ces permissions héritées

Au niveau du marché, il est à noter qu'aucune autre solution de sécurité traitant des permissions ne propose un ensemble d'outils permettant de comprendre de manière aussi clair qu'avec Protektoid la totalité des permissions accordées à une application et leurs statuts, quelles soient héritées ou non, groupées ou non, activées ou non !

Comments