„Lažni id“ in varnost za android [posodobljeno]

Danes je podjetje za varnostno raziskovanje BlueBox - isto podjetje, ki je odkrilo tako imenovano ranljivost za "Master Key" Android - objavilo odkritje napake v načinu, kako Android obravnava identitetna potrdila, ki se uporabljajo za podpisovanje aplikacij. Ranljivost, ki jo je BlueBox poimenoval "Lažni ID", omogoča zlonamernim aplikacijam, da se povežejo s potrdili iz zakonitih aplikacij in tako dobijo dostop do stvari, do katere ne bi smeli imeti dostopa.

Varnostne ranljivosti, kot je ta zvok, so strašljive, danes pa smo videli že enega ali dva hiperbolična naslova, ko se je zgodba prelomila. Kljub temu je vsaka napaka, ki omogoča aplikacijam, da delajo stvari, za katere ne bi smela, da so resna težava. Torej, na kratko povzamemo, kaj se dogaja, kaj pomeni za varnost Android in ali se splača skrbeti …

Posodobitev: Ta članek smo posodobili, da odraža Googlovo potrditev, da sta bila tako trgovina Play kot tudi preverjanje aplikacij res posodobljena za odpravljanje napake s ponarejenim ID-jem. To pomeni, da velika večina aktivnih naprav Android Android že ima določeno zaščito pred tem vprašanjem, kot je razloženo v nadaljevanju članka. Googlovo izjavo v celoti najdete na koncu te objave.

Težava - Dodgy certifikati

»Lažni ID« izhaja iz napake v namestitvenem paketu Android.

Po mnenju BlueBoxa ranljivost izhaja iz težave v namestitvenem paketu za Android, delu operacijskega sistema, ki obravnava namestitev aplikacij. Namestitveni program očitno ne preveri verodostojnosti verig digitalnih potrdil, kar omogoča, da zlonamerno potrdilo trdi, da ga je izdala zaupanja vredna stranka. To je težava, ker določeni digitalni podpisi aplikacijam omogočajo privilegiran dostop do nekaterih funkcij naprave. Na primer s sistemom Android 2.2-4.3 imajo aplikacije z Adobe-ovim podpisom poseben dostop do vsebine spletnega ogleda - zahteva za podporo Adobe Flash, ki bi lahko v primeru zlorabe povzročila težave. Podobno lahko ponarejanje podpisa aplikacije, ki ima privilegiran dostop do strojne opreme, ki se uporablja za varno plačevanje prek NFC, lahko zlonamerni aplikaciji prestreže občutljive finančne podatke.

Zaskrbljujoče je, da bi zlonamerno potrdilo lahko uporabili tudi za predstavljanje določene programske opreme za upravljanje oddaljenih naprav, na primer 3LM, ki jo uporabljajo nekateri proizvajalci in omogoča obsežen nadzor nad neko napravo.

Kot piše raziskovalec BlueBoxa Jeff Foristall:

"Podpisi aplikacij igrajo pomembno vlogo v varnostnem modelu Android. Podpis aplikacije določa, kdo lahko posodablja aplikacijo, katere aplikacije lahko delijo podatke itd. Določena dovoljenja, ki se uporabljajo za dostop do funkcionalnosti, lahko uporabljajo le aplikacije, ki imajo isti podpis kot ustvarjalec dovoljenja. Še bolj zanimivo, da so zelo specifični podpisi v nekaterih primerih deležni posebnih privilegijev."

Čeprav težava Adobe / webview ne vpliva na Android 4.4 (ker spletni prikaz zdaj temelji na Chromiumu, ki nima enakih trnkov Adobe), napaka v namestitvenem paketu očitno še naprej vpliva na nekatere različice KitKat. V izjavi za Android Central Google je dejal: "Potem ko smo dobili besedo te ranljivosti, smo hitro izdali obliž, ki je bil razdeljen partnerjem Android, pa tudi projektu Android Open Source."

Google pravi, da ni dokazov, da se v naravi izkorišča lažni ID.

Glede na to, da BlueBox pravi, da je Google obvestil aprila, bo verjetno v program 4.4.4 vključen kakšen popravek in morda tudi varnostni popravki originalnih proizvajalcev, ki temeljijo na 4.2.2. (Glej to zavezo kode - hvala Anant Shrivastava.) Začetno testiranje z lastno aplikacijo BlueBox kaže, da lažni ID ne vpliva na evropske LG G3, Samsung Galaxy S5 in HTC One M8. Povezali smo se z glavnimi proizvajalci naprav Android, da bi ugotovili, katere druge naprave so bile posodobljene.

Kar zadeva posebnosti vulkanskih ponaredkov, Forristal pravi, da bo več informacij razkril na konferenci Black Hat v Las Vegasu 2. avgusta. Google je v izjavi povedal, da je pregledal vse aplikacije v svoji Play Store, nekatere pa gostijo v drugih trgovinah z aplikacijami in niso našli nobenih dokazov, da je bil podvig uporabljen v resničnem svetu.

Rešitev - odpravljanje napak Android z Googlom Play

Google lahko s storitvami Play učinkovito odpravi to napako v večini aktivnega ekosistema Android.

Lažni ID je resna varnostna ranljivost, ki bi napadalcu, če je pravilno usmerjena, lahko resno poškodovala. In ker je bil osnovni hrošč v AOSP obravnavan šele pred kratkim, se lahko zdi, da je velika večina telefonov Android odprta za napad in bo tako ostala v prihodnosti. Kot smo že govorili, je naloga posodobitve milijarde ali tako aktivnih telefonov Android velik izziv, "razdrobljenost" pa je težava, ki je vgrajena v Androidovo DNK. Toda Google ima adut za igranje, ko se ukvarja z varnostnimi težavami, kot je ta - storitve Google Play.

Tako kot Play Services dodaja nove funkcije in API-je, ne da bi potrebovali posodobitev vdelane programske opreme, se lahko uporablja tudi za zatiranje varnostnih lukenj. Pred časom je Google storitvam Google Play dodal funkcijo »preveri aplikacije« kot način za pregledovanje kakršnih koli programov glede zlonamerne vsebine, preden so nameščene. Še več, vklopljeno je privzeto. V sistemu Android 4.2 ali novejši živi v nastavitvah> Varnost; v starejših različicah ga najdete v nastavitvah Google Nastavitve> Preveri aplikacije. Kot je Sundar Pichai dejal v storitvi Google I / O 2014, je 93 odstotkov aktivnih uporabnikov na najnovejši različici storitev Google Play. Tudi naš starodavni LG Optimus Vu, ki uporablja Android 4.0.4 Ice Cream Sandwich, ima možnost storitev „Preveri aplikacije“ v storitvah Play, da se zaščiti pred zlonamerno programsko opremo.

Google je za Android Central potrdil, da sta bila funkcija "preverite aplikacije" in Google Play posodobljena, da bi zaščitili uporabnike pred to težavo. Pravzaprav so napake na ravni aplikacije, kot je ta, natančno tisto, s čimer je zasnovana funkcija "preveri aplikacije". To znatno omejuje vpliv ponarejenega ID-ja na katero koli napravo, ki uporablja posodobljeno različico storitev Google Play - daleč od tega, da so vse naprave Android ranljive, Googlove ukrepe za odkrivanje ponarejenega ID-ja s storitvami Play učinkovito znižale, še preden je izdaja sploh postala javna znanje.

Več bomo izvedeli, ko bodo informacije o napaki na voljo pri Black Hat-u. Ker pa Googlov preveritelj aplikacij in Trgovina Play lahko ujameta aplikacije s pomočjo ponarejenega ID-ja, se trditev BlueBoxa, da so "vsi uporabniki Androida od januarja 2010" v nevarnosti, pretirana. (Čeprav je res, da so uporabniki, ki imajo napravo z različico Androida, ki ni odobrena od Googla, ostali v strožji situaciji.)

Pustiti, da Play Services deluje kot vratar, je rešitev za zaustavitev, vendar je precej učinkovita.

Ne glede na to, da Google že od aprila pozna lažni ID, je zelo malo verjetno, da ga bodo v prihodnosti aplikacije, ki uporabljajo exploit, prenesle v Trgovino Play. Kot večina varnostnih težav s sistemom Android, je tudi najlažji in najučinkovitejši način za reševanje ponarejenega ID-ja pametno vedeti, od kod prihajate svoje aplikacije.

Zagotovo zaustavitev ranljivosti pred izkoriščanjem ni enako kot popolna odprava. V idealnem svetu bi Google lahko prestavil posodobitev preko vsake naprave Android in odpravil težavo za vedno, tako kot to počne Apple. Pustiti, da Play Services in Play Store delujeta kot vratarja, je rešitev za zaustavitev, vendar glede na velikost in naravo ekosistema Android precej učinkovito.

Ni v redu, da številni proizvajalci še vedno trajajo predolgo, da bi potisnili pomembne varnostne posodobitve naprav, zlasti manj znanih, saj se težave, kot je ta, izpostavljajo. Je pa veliko boljše kot nič.

Pomembno je, da se zavedate varnostnih težav, še posebej, če ste uporabnik Android-a, ki se dobro obnese - takšne osebe, na katere se redni ljudje obrnejo po pomoč, ko z njihovim telefonom kaj ne gre. Dobro pa je tudi, da stvari ohranjate v perspektivi in ​​ne pozabite, da ni pomembna samo ranljivost, ampak tudi možen vektor napada. V primeru ekosistema pod nadzorom Googla so storitve Trgovine Play in Play dve močni orodji, s katerimi Google lahko upravlja z zlonamerno programsko opremo.

Bodite torej varni in ostanite pametni. Obveščali vas bomo o dodatnih informacijah o ponarejenem ID-ju glavnih proizvajalcev proizvajalcev Android.

Posodobitev: Googlov tiskovni predstavnik je Android Central poslal naslednjo izjavo:

"Cenimo, da Bluebox odgovorno poroča o tej ranljivosti; raziskovanje tretjih oseb je eden izmed načinov, kako je Android močnejši za uporabnike. Po prejemu besede o tej ranljivosti smo hitro izdali obliž, ki je bil razdeljen partnerjem Android in tudi AOSP. Za zaščito uporabnikov pred to težavo sta bila izboljšana tudi aplikacije Google Play in Verify. Trenutno smo pregledali vse aplikacije, poslane v Google Play, in tiste, ki jih je Google pregledal zunaj Google Play, in nismo videli nobenih dokazov o poskusih izkoriščanje te ranljivosti."

Sony nam je tudi povedal, da deluje na potiskanju popravka ponarejenega ID-ja na svoje naprave.