Je veux savoir si une application système est capable de lire les données des autres applications (les données stockées dans /data/data.) sur Android 9.
Gracias.
Réponse
Trop de publicités?
Scott
Points
3238
Oui ! Apps système avec le niveau de protection signature (l'APK système doit être signé avec la même clé que celle utilisée pour signer la ROM/Firmware), peut lire/écrire/exécuter/supprimer toutes les données stockées sur /données/données ou d'autres dossiers sur l'appareil.
Notez que les applications tierces (applications personnalisées OEM) trouvées sur system/priv-app avec le niveau de protection signatureOrSystem (déprécié dans Android 6.0). Il se peut qu'ils ne puissent pas le faire à moins d'avoir signature niveau de protection, c'est-à-dire signé avec la même clé que la ROM/Firmware.
Exemples : J'ai vu certains fabricants chinois avec leurs solutions intégrées de clonage de données qui peuvent faire une sauvegarde de l'APK entier et de ses données dans un autre téléphone, et IMO, c'est un risque de sécurité qui ne devrait pas exister du tout sur les appareils Android.
EDIT 1 : Comme je l'ai déjà mentionné, jetons un coup d'œil à un APK Android qui est capable de copier les données/dossiers de données d'autres APK, il s'appelle Amiclone "com.gionee.dataghost" du fabricant chinois de smartphones Gionee (qui, BTW, a fait face à la faillite et à la liquidation en 2018).
-
Nous disposons des informations suivantes, issues de la version 2.1.0w_pub build 20100022
-
Permissions :
android.permission.ACCESS_COARSE_LOCATION android.permission.ACCESS_MTK_MMHW android.permission.ACCESS_NETWORK_STATE android.permission.ACCESS_SUPERUSER android.permission.ACCESS_WIFI_STATE android.permission.BLUETOOTH android.permission.BLUETOOTH_ADMIN android.permission.CHANGE_NETWORK_STATE android.permission.CHANGE_WIFI_STATE android.permission.GET_TASKS android.permission.INSTALL_PACKAGES android.permission.INTERNET android.permission.KILL_BACKGROUND_PROCESSES android.permission.MANAGE_DOCUMENTS android.permission.MODIFY_PHONE_STATE android.permission.MOUNT_FORMAT_FILESYSTEMS android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CALENDAR android.permission.READ_CALL_LOG android.permission.READ_CONTACTS android.permission.READ_EXTERNAL_STORAGE android.permission.READ_LOGS android.permission.READ_PHONE_STATE android.permission.READ_SMS android.permission.RECEIVE_BOOT_COMPLETED android.permission.RECORD_AUDIO android.permission.UPDATE_APP_OPS_STATS android.permission.WAKE_LOCK android.permission.WRITE_CALENDAR android.permission.WRITE_CALL_LOG android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE android.permission.WRITE_MEDIA_STORAGE android.permission.WRITE_SECURE_SETTINGS android.permission.WRITE_SETTINGS android.permission.WRITE_SMS com.gionee.youju.statistics.permission.READ_PROVIDER com.gionee.youju.statistics.permission.WRITE_PROVIDER -
Signature :
Number of signers: 1 Signer #1 certificate DN: EMAILADDRESS=gionee@gionee.com, CN=Gionee, OU=Gionee, O=Gionee, L=ShenZhen, ST=GuangDong, C=CN Signer #1 certificate SHA-256 digest: c2d992c8a4cda2eed55f69357d6759937878e9a0f0b629524e88aa81ed65f802 Signer #1 certificate SHA-1 digest: 1bb8b4f46eafc2a06a46ba68fd8de543a5c65cbd Signer #1 certificate MD5 digest: b49792a5687b641492e10a29152f7454 Signer #1 key algorithm: RSA Signer #1 key size (bits): 2048 Signer #1 public key SHA-256 digest: 858b75200e11e0e62f6377b0b56beb728085823bddc31669d8348ee28b651815 Signer #1 public key SHA-1 digest: c780dfb20637a7cedcaf78298ec1bfcb7b069da1 Signer #1 public key MD5 digest: ceb817433cbe5a6a3c42cc7a562617ab
-
En outre, cet APK a un binaire busybox intégré, et il est capable de vider toutes les données de l'utilisateur à partir des dossiers /data/data lors du transfert d'applications d'un appareil Gionee à un autre.
Conclusion :
Oui, un APK système peut copier d'autres Apps et leurs données, mais ce n'est pas seulement une question de signature comme @Irfan l'a souligné dans son commentaire, il y a des permissions de différents niveaux (certaines nécessitent une protection au niveau de la signature) etc.... Mais, comme les réponses d'Android Enthusiasts sont généralement destinées aux utilisateurs finaux, les détails complets ne sont pas nécessaires pour répondre à une question.
