Чи є інструменти для того, щоб пісочниця зловмисного програмного забезпечення була більше, ніж надані дозволи на Android?


59

Припустимо, я хочу запустити якусь програму, яка вимагає занадто багато дозволів. Наприклад, записати з мікрофона або прочитати IMEI свого телефону. Однак немає жодного практичного пояснення, чому для цього конкретного додатку потрібна запис з мікрофона чи номера IMEI, за винятком обміну даними.

Я хочу спробувати цю програму, але обмежте її дозволи. Наприклад, якщо він читає IMEI, він повинен отримати випадковий IMEI (але однаковий кожен раз). Якщо він намагається прочитати мікрофон, він повинен настати тиші.

Ще деякі цікаві дозволи:

  1. Доступ для читання / запису в телефонній книзі - повертає нульові контакти, роблять вигляд, що записати це нормально, але насправді нічого не роблять.
  2. Надіслати SMS - зробіть вигляд, що SMS надсилається, але нічого не робіть.
  3. Отримайте список видимих ​​мереж Wi-Fi - поверніть нульові мережі.

Очевидно, що інструмент повинен вимагати вкоріненого телефону. Чи є такі інструменти?


1
Я задавав це питання на stackexchange, але був направлений сюди, оскільки на цьому сайті є широка аудиторія андроїдів.
Денис Ніколаєнко

9
Я ніколи не бачив нічого подібного, але не бачу, чому цього не можна було зробити. Це гарна ідея.
Мет

1
Чи можете ви використовувати емулятор у SDK для розробників, щоб досягти цього багато?
ель

5
В основному, так. Можливо використання емулятора як пісочниці. Але що робити, якщо я хочу запустити додаток на фізичному телефоні, але зберегти свою конфіденційність?
Денис Ніколаєнко

Я знаю, що це питання давнє, але чи можете ви уточнити, у якому контексті ви хочете перевірити якесь шкідливе додаток на своєму особистому фізичному пристрої та відповісти на неправдиві особисті дані? Мені здається, що поточне рішення cyanogenmod (відхиляти дзвінки, не видавати фальшиві дані) здається достатньою.
Stéphane Gourichon

Відповіді:


13

XPrivacyLua - це модуль для Xposed Framework, який робить саме те, що вам потрібно. Це безкоштовно та з відкритим кодом. Працює на вкорінених пристроях. Це наступник XPrivacy.

Встановити Xposed звідси: https://forum.xda-developers.com/showthread.php?t=3034811

Потім можна завантажити модуль XPrivacyLua з репортажу Xposed через додаток Xposed Manager або вручну звідси:

https://repo.xposed.info/module/eu.faircode.xlua

Джерело:

https://github.com/M66B/XPrivacyLua


Якщо ви маєте ОС Android 5 або новішої версії, ви можете використовувати застарілий модуль конфіденційності XP.


Дуже хороший засіб. Саме те, чого я прагнув.
Денис Ніколаєнко

19

Whisper Systems випустив спеціальний ПЗУ із такою точною особливістю: http://www.whispersys.com/permissions.html . Як зазначає DarthNoodles, це потрібно робити на системному рівні, а не на рівні додатків, як це реалізується в WhisperCore. Поточна версія не в змозі заблокувати всі дозволи, доступні на Android, але вони працюють над підтримкою більшості з них.


1
Вихідний код доступний лише після покупки ...
Денис Ніколаєнко

Посилання мертва. Чи змінили вони імена на OpenWhisper Systems та запустили Signal? чи це інша група?
YetATHERRandomUser

@YetAbodyRandomUser так, це більш-менш та сама група: signal.org/blog/welcome . Whisper Systems придбала Twitter. Трохи пізніше Моксі, один із засновників Whisper Systems, вийшов із Твіттера і запустив деякі старі програми Whisper Systems у проект з відкритим кодом, який став сигналом.
Гері Пек

16

CyanogenMod 7.1 має саме цю функцію , але без підроблених даних, лише не працює, якщо програма звертається до API. Пропозиція щодо підробки IMEI була відхилена. Підробка інших даних, наприклад контактів, зараз обговорюється.


1
Стів Кондік пояснює, чому його відхилено в цій публікації: plus.google.com/+SteveKondik/posts/iLrvqH8tbce Витяг: "Я відхилив ці виправлення, оскільки вони створюють вороже середовище для додатків, і це не напрямок, у якому я хочу бачити CM . (...) розробники, які не хочуть, щоб їхні програми працювали в непередбачуваних умовах. (...) Я думаю, що ці патчі просто більше театру безпеки і насправді не вирішують проблеми. Чому ви хочете запускати шкідливі програми все одно? "
Стефан Гурішон

9

Не абсолютне рішення вашої проблеми, але на ринку Android є додаток, яке задовольняє ваші потреби. Це також обов'язково вимагає кращих знань про дозволи, а також укорінене пристрій.

Permissions Denied - це програма, яка дозволяє ефективно контролювати дозволи, встановлені програмами на ваш телефон, через ринок чи інше джерело. Також пам’ятайте, що відмова додатку в дозволі, який він вимагає, може призвести до примусового закриття програми. (отже, вимагати від вас кращих знань про те, як ним користуватися)

Примітка. Цей додаток вимагає кореневого доступу. Цей додаток працюватиме не на всіх пристроях.


1
CyanogenMod все ще кращий у цій галузі, додаток наразі лускатий.
Денис Ніколаєнко

5

Це не додаток для пісочниці, але, можливо, це також цікаво для вас, якщо ви ще не чули про нього.

Деякі вчені розпочали проект Taintdroid . Моніторинг конфіденційності в режимі реального часу для Android




3

Це логічне рішення потенційної проблеми та тривалого роздратування моїх.

Однак ви повинні пам’ятати, що будь-які рішення, доступні для програми безпеки, також були б доступні для програми зловмисного програмного забезпечення. Якщо програма безпеки може блокувати чистий доступ, то програма зловмисного програмного забезпечення також може блокувати її, зупиняючи програму безпеки від оновлення файлів даних, наприклад.

Це потрібно робити на системному рівні, а не як інший додаток.

Дивіться тут мій пост для моїх думок.


4
Такі інструменти потребують кореневого доступу до телефону, якщо ви надаєте його, слід мати довіру до цього інструменту, як-от "Відмовлено у дозволах". Якщо ви надаєте кореневий доступ до випадкової програми з ринку, ви просто застрелилися в ногу :)
Денис Ніколаєнко



2

Продовжується дослідження з цього приводу. Ще не опублікований доказ концепції реалізований для деяких API конфіденційності, як я запропонував. Менеджер конфіденційності називається TISSA , що скорочено для приборкання інформації щодо крадіжки додатків для смартфонів.


2

Є програми блокування конфіденційності (платні) та інспектор конфіденційності (безкоштовні). Блокер конфіденційності робить статичний аналіз програм для чутливих дзвінків API і переписує ці дзвінки в заглушки, які повертають підроблені дані. В результаті створюється і встановлюється новий .apk з переписаним додатком. Інспектор конфіденційності - це програма, яка повідомляє лише про використання чутливих дзвінків API.


1

Marshmallow (Android 6) має нову модель дозволів . Програми, орієнтовані на Marshmallow, тепер можуть бути обмежені на меншу кількість дозволів під час виконання, і ці програми повинні виходити витончено, а не модель дозволів, отриманих у повному обсязі чи нічого, та попередніх версій Android. У Marshmallow це особливість стандартної ОС, і вона не потребує вкорінення або додаткових додатків.


1
Привіт mattm! Було б добре, якщо ви заглибитесь сюди. Наприклад, нова модель дозволів не дає ніякого контролю над дозволами в Інтернеті. Якщо можливо, використовуйте скріншоти для кращого способу, щоб ми зрозуміли, про що ви говорите.
Firelord

-1

Я впевнений, що інструмент, який ви шукаєте, ще не існує. Але ваша ідея чудова. Трохи сенс;

ofc; додаток може вільно читати та писати, це власна директорія додатків

надання підробленого доступу для читання: для кожного можливого читання (і багато додатків можна спробувати прочитати) відповідь за замовчуванням повинна генеруватися; багато роботи, але виконано

проте; надати доступ підробленого запису набагато важче; що робити, якщо вона використовує sd-карту для зберігання великих тимчасових файлів; як растрові карти. На не вкоріненому телефоні; єдиний додаток, який можна записати, - це sd-карта; а також за допомогою постачальника вмісту (для таких матеріалів, як контакти та календар). І дизайнер додатків не очікує невдачі в записі даних; тому додаток може вийти з ладу.

Хороша річ, що найгірше, що може статися, це те, що додаток може вийти з ладу.


Чому голосування проти? На грудень 2010 року цих інструментів насправді не існувало.
Денис Ніколаєнко
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.