Che cosa significa che "il sistema dei permessi non include i controlli per l'utilizzo dei privilegi transitivi" (citazione da un articolo su Attacchi di escalation dei privilegi su Android ).
Android garantisce i privilegi delle app durante l'installazione, ma (come sopra) non ci sono controlli. Di cosa si tratta?
Significa solo quello che dice: il sistema di autorizzazione Android non tenta di identificare le richieste transitive per utilizzare i privilegi. Ad esempio, se l'app A chiede all'app B di fare qualcosa per suo conto, e nell'app di risposta B chiede al sistema operativo sottostante di fare qualcosa, quindi i controlli di autorizzazione del sistema operativo prendono in considerazione solo che B sta richiedendo, non che la richiesta sia originata da A e viene eseguito per conto di A.
Per capire in dettaglio, ti suggerisco di leggere i seguenti documenti:
Autorizzazioni Android demistificate . Adrienne Porter Felt, Erika Chin, Steve Hanna, Dawn Song e David Wagner. CCS 2011.
In cerca di: leggerezza Provenienza per i sistemi operativi per smartphone . Michael Dietz, Shashi Shekhar, Yuliy Pisetsky, Anhei Shu e Dan S. Wallach. Usenix Security 2011.
Permission Re-Delegation: Attacks and Defenses . Adrienne Porter Feltri, Helen Wang, Alex Moshchuk, Steve Hanna e Erika Chin. Usenix Security 2011.
Wikipedia su il problema del delegato confuso .
P.S. In futuro, quando citi da qualcuno, potresti voler fornire la fonte dell'offerta.
Leggi altre domande sui tag android privileged-account