Tính bảo mật trên nền tảng di động Android từ lâu đã là một chủ đề tranh luận phổ biến. Do Google chủ ý xây dựng một hệ sinh thái mở, và không áp dụng các chính sách quản lý ứng dụng gắt gao, một số nhà nghiên cứu cho biết gian ứng dụng Google Play là kho chứa rất nhiều phần mềm gây hại. Những báo cáo được công bố trong vài năm gần đây kết luận ngay cả những phần mềm từ các dịch vụ có uy tín như Facebook hay Skype vẫn có thể khai thác Android để truy cập và thu thập thông tin người dùng/thiết bị một cách bí mật. Chuyên gia Paul Brodeur của Leviathan Security đặt ra một câu hỏi khá đơn giản: một ứng dụng có thể truy cập vào những dữ liệu gì mà không cần xin phép người dùng? Kết quả mà Paul thu được là rất đáng quan tâm.
Paul phát triển một ứng dụng đặc biệt cho Android, cho phép nó tìm hiểu những loại dữ liệu nào có thể thu thập được từ một thiết bị mà không cần người dùng cấp phép. Nhà nghiên cứu này cho biết ứng dụng của ông tiếp cận được với thẻ nhớ SD, nhiều thông tin về hệ thống và dữ liệu nhận diện của thiết bị. Sau khi truy cập vào thẻ nhớ SD, ứng dụng tiếp cận được với mọi thông tin không bị ẩn đi, bao gồm hình ảnh và dữ liệu sao lưu.
Địa điểm thứ 2 mà ứng dụng có thể truy cập để lấy thông tin nằm ở đường dẫn /data/system/packages.list. Tập tin này chứa dữ liệu cho phép hệ điều hành nhận biết những ứng dụng nào đang được cài đặt trên thiết bị. Paul cũng có thể quét một lượt qua các ứng dụng để biết xem liệu có những thông tin nhạy cảm nào có thể tiếp cận được hay không. Tính năng này có thể được malware khai thác nhằm xác định những phần mềm nào có sơ hở về mặt cấp phép truy cập.
Loại dữ liệu cuối cùng mà Paul có thể thu thập được liên quan đến thông tin nhận diện của thiết bị. Khi không được cấp phép "PHONE_STATE", ứng dụng không thể đọc được số IMEI và IMSI của máy. Tuy nhiên, ứng dụng của Paul vẫn có thể tiếp cận được mã GSM và mã SIM, đồng thời truy cập vào nơi chứa thông tin về phiên bản kernel, Android ID và tên bản ROM cook được cài đặt (nếu có).
Paul cảnh báo người dùng Android về khả năng tồn tại những ứng dụng mờ ám. Khi được cài vào máy, chúng có thể thực hiện tất cả những thao tác kể trên mà không cần tương tác hoặc cấp phép của người dùng. Không chỉ dừng lại ở việc thông tin gì có thể truy cập, Paul tiếp tục đặt ra câu hỏi: có thể làm gì được với những dữ liệu đã thu thập? Nếu không được cấp phép kết nối Internet, làm sao gửi dữ liệu này ra khỏi máy? Paul cho biết điều trong khi hầu hết mọi truy cập mạng đều được kiểm soát nghiêm ngặt, có một loại kết nối có thể được thực hiện mà không cần xin phép người dùng: URI ACTION_VIEW Intent sẽ mở một cửa sổ trình duyệt và xuất thông tin đã thu thập ra bên ngoài.
Thử nghiệm của Paul được thực hiện trên 2 phiên bản Android là Gingerbread 2.3.5 và Ice Cream Sandwich 4.0.3.
Nguồn: Leviathan Security