Falošné ID a zabezpečenie Androidu [aktualizované]

Spoločnosť BlueBox v oblasti bezpečnostného výskumu dnes, rovnaká spoločnosť, ktorá odhalila takzvanú zraniteľnosť „Master Key“ systému Android, oznámila objavenie chyby v spôsobe, akým Android spracováva identifikačné certifikáty používané na podpisovanie aplikácií. Táto chyba zabezpečenia, ktorú BlueBox označil ako „falošné ID“, umožňuje škodlivým aplikáciám spojiť sa s certifikátmi od legitímnych aplikácií, čím získa prístup k veciam, ku ktorým nemajú mať prístup.

Zraniteľné miesta zabezpečenia, ako je tento zvuk, sú strašidelné a dnes sme už videli jeden alebo dva hyperbolické titulky, pretože sa tento príbeh zlomil. Akákoľvek chyba, ktorá umožňuje aplikáciám robiť veci, ktoré nemajú, je vážnym problémom. Poďme teda zhrnúť, čo sa deje v skratke, čo to znamená pre zabezpečenie Androidu a či to stojí za to sa obávať …

Aktualizácia: Tento článok sme aktualizovali tak, aby odrážal potvrdenie od spoločnosti Google, že funkcia Obchodu Play a funkcia „Overiť aplikácie“ boli skutočne aktualizované tak, aby riešili chybu Fake ID. To znamená, že prevažná väčšina aktívnych zariadení Google Android má pred týmto problémom určitú ochranu, ako sa uvádza ďalej v tomto článku. Úplné vyhlásenie spoločnosti Google nájdete na konci tohto príspevku.

Problém - Dodgy osvedčenia

'Fake ID' pochádza z chyby v inštalátore balíka Android.

Podľa BlueBoxu zraniteľnosť pramení z problému v inštalátore balíkov pre Android, časti OS, ktorá sa zaoberá inštaláciou aplikácií. Inštalátor balíka zjavne zjavne neoveruje pravosť reťazcov digitálnych certifikátov, čo umožňuje škodlivému certifikátu tvrdiť, že bol vydaný dôveryhodnou stranou. To je problém, pretože určité digitálne podpisy poskytujú aplikáciám privilegovaný prístup k niektorým funkciám zariadenia. Napríklad v systéme Android 2.2-4.3 dostávajú aplikácie s podpisom Adobe špeciálny prístup k obsahu webového prehliadania - požiadavka podpory Adobe Flash, ktorá pri nesprávnom použití môže spôsobiť problémy. Podobným spôsobom môže spoofing podpisu aplikácie, ktorá má privilegovaný prístup k hardvéru použitému na bezpečné platby cez NFC, nechať škodlivú aplikáciu zachytiť citlivé finančné informácie.

Čo je znepokojujúcejšie, škodlivý certifikát by sa mohol použiť aj na zosobnenie určitého softvéru na správu vzdialených zariadení, ako je napríklad 3LM, ktorý používajú niektorí výrobcovia a ktorý poskytuje rozsiahlu kontrolu nad zariadením.

Ako píše výskumný pracovník BlueBoxu Jeff Foristall:

„Podpisy aplikácií zohrávajú v bezpečnostnom modeli Android dôležitú úlohu. Podpis aplikácie určuje, kto môže aktualizovať aplikáciu, ktoré aplikácie môžu zdieľať jej údaje, atď. Určité povolenia, ktoré sa používajú na zabezpečenie prístupu k funkčnosti, sú použiteľné iba pre aplikácie, ktoré majú rovnaký podpis ako tvorca povolení. Zaujímavejšie je, že v určitých prípadoch majú veľmi špecifické podpisy osobitné privilégiá. ““

Zatiaľ čo problém s aplikáciou Adobe / webview nemá vplyv na systém Android 4.4 (pretože webový pohľad je teraz založený na prehliadači Chromium, ktorý nemá rovnaké háčiky od spoločnosti Adobe), základná chyba inštalátora balíkov zjavne ovplyvňuje niektoré verzie súpravy KitKat. Vo vyhlásení pre spoločnosť Android Central spoločnosť Google uviedla: „Po prijatí slova o tejto zraniteľnosti sme rýchlo vydali opravu, ktorá bola distribuovaná partnerom Androidu, ako aj projektu Android Open Source Project.“

Google tvrdí, že vo voľnej prírode sa nevyužíva žiadny dôkaz „falošného ID“.

Vzhľadom na to, že spoločnosť BlueBox tvrdí, že spoločnosť Google informovala v apríli, je pravdepodobné, že akákoľvek oprava bude zahrnutá v systéme Android 4.4.3 a možno aj v niektorých bezpečnostných opravách od výrobcov OEM od verzie 4.4.2. (Pozri tento záväzok kódu - ďakujem Anantovi Shrivastavovi.) Počiatočné testovanie pomocou vlastnej aplikácie BlueBox ukazuje, že európske značky LG G3, Samsung Galaxy S5 a HTC One M8 nie sú ovplyvnené funkciou Fake ID. Oslovili sme hlavných výrobcov zariadení s Androidom, aby sme zistili, ktoré ďalšie zariadenia boli aktualizované.

Pokiaľ ide o špecifiká falošného identifikátora, spoločnosť Forristal tvrdí, že na konferencii Black Hat Conference v Las Vegas 2. augusta odhalí viac informácií. Google vo svojom vyhlásení uviedol, že naskenoval všetky aplikácie v obchode Play a niektoré hostil. v iných obchodoch s aplikáciami a nenašli sa žiadne dôkazy o tom, že by sa zneužívanie využívalo v skutočnom svete.

Riešenie - Oprava chýb systému Android pomocou služby Google Play

Prostredníctvom služieb Play môže spoločnosť Google túto chybu účinne kastrovat vo väčšine aktívnych ekosystémov Android.

Fake ID je vážna bezpečnostná zraniteľnosť, ktorá, ak je správne zacielená, by mohla útočníkovi umožniť vážne poškodenie. A keďže základná chyba bola v AOSP riešená iba nedávno, môže sa zdať, že veľká väčšina telefónov s Androidom je otvorená útokom a zostane tak v dohľadnej budúcnosti. Ako sme už diskutovali, úloha aktualizácie miliárd aktívnych telefónov s Androidom je obrovskou výzvou a „fragmentácia“ je problém, ktorý je zabudovaný do DNA systému Android. Pri riešení bezpečnostných problémov, ako je tento, má však Google k dispozícii tromfovú kartu - služby Google Play.

Rovnako ako služby Play Services pridávajú nové funkcie a rozhrania API bez potreby aktualizácie firmvéru, možno ich použiť aj na pripojenie bezpečnostných dier. Pred nejakým časom spoločnosť Google pridala do služieb Google Play funkciu „overiť aplikácie“ ako spôsob, ako skontrolovať prítomnosť škodlivého obsahu aplikácií pred ich inštaláciou. A čo viac, v predvolenom nastavení je zapnutá. V systéme Android 4.2 a vyššie funguje pod položkou Nastavenia> Zabezpečenie; vo starších verziách nájdete v časti Nastavenia Google> Overiť aplikácie. Ako povedal Sundar Pichai na konferencii Google I / O 2014, 93 percent aktívnych používateľov využíva najnovšiu verziu služieb Google Play. Dokonca aj náš starodávny produkt LG Optimus Vu so systémom Android 4.0.4 Ice Cream Sandwich má možnosť „overiť aplikácie“ zo služieb Play, aby sa chránil pred škodlivým softvérom.

Spoločnosť Google potvrdila službe Android Central, že funkcia overovania aplikácií a Google Play boli aktualizované, aby chránili používateľov pred týmto problémom. V skutočnosti sú chyby zabezpečenia na úrovni aplikácií presne také, ako sú navrhnuté pre funkciu „overiť aplikácie“. Tým sa výrazne obmedzuje vplyv falošného ID na akékoľvek zariadenie so spustenou aktuálnou verziou služieb Google Play - ďaleko od zraniteľnosti všetkých zariadení s Androidom sa konanie spoločnosti Google zaoberajúce sa falošným ID prostredníctvom služieb Play účinne vykastrovalo skôr, ako sa tento problém stal dokonca verejným. vedomostí.

Dozvieme sa viac, keď budú informácie o chybe dostupné v Black Hat. Keďže však overovač aplikácií a obchod Play od spoločnosti Google môžu zachytávať aplikácie pomocou funkcie Fake ID, tvrdenie spoločnosti BlueBox, že „všetci používatelia systému Android od januára 2010“ sú v ohrození, sa zdá byť prehnané. (Je pravda, že používatelia, ktorí používajú zariadenie s verziou Android neschválenou spoločnosťou Google, zostávajú v lepšej situácii.)

Nechať služby Play pôsobiť ako strážca je riešením typu stopgap, ale je to veľmi efektívne riešenie.

Bez ohľadu na skutočnosť, že spoločnosť Google vedela o falošnom ID od apríla, je veľmi nepravdepodobné, že akékoľvek aplikácie využívajúce zneužitie ho v budúcnosti zavedú do Obchodu Play. Najjednoduchší a najúčinnejší spôsob riešenia problému s falošným ID je, rovnako ako väčšina problémov so systémom Android, informácie o tom, odkiaľ získavate svoje aplikácie.

Je zrejmé, že zastavenie zneužívania zraniteľnosti nie je to isté, ako úplne odstránenie. V ideálnom svete by spoločnosť Google mohla tlačiť bezplatnú aktualizáciu na všetky zariadenia s Androidom a eliminovať problém navždy, rovnako ako spoločnosť Apple. Nechať služby Play a Play Store pôsobiť ako strážcovia je riešením typu stopgap, ale vzhľadom na veľkosť a rozľahlú povahu ekosystému Android je to celkom efektívne riešenie.

Nie je v poriadku, že mnoho výrobcov stále trvá príliš dlho na to, aby vytlačili dôležité aktualizácie zabezpečenia zariadení, najmä menej známych, pretože problémy, ako je tento, majú tendenciu upozorňovať. Ale je to oveľa lepšie ako nič.

Je dôležité poznať bezpečnostné problémy, najmä ak ste technicky zdatný používateľ systému Android - ten typ ľudí, ktorých sa riadni ľudia obracajú o pomoc, keď sa s ich telefónom niečo pokazí. Je však tiež dobré udržať veci v perspektíve a nezabudnite, že to nie je iba zraniteľnosť, ale aj možný útokový vektor. V prípade ekosystému kontrolovaného spoločnosťou Google sú služby Obchod Play a Play dva výkonné nástroje, pomocou ktorých môže spoločnosť Google spracovávať malware.

Zostaňte v bezpečí a buďte inteligentní. Budeme vás informovať o akýchkoľvek ďalších informáciách o falošnom ID od hlavných výrobcov OEM pre Android.

Aktualizácia: Hovorca spoločnosti Google poskytol Android Central nasledujúce vyhlásenie:

„Ceníme si, aby nás Bluebox zodpovedne hlásil túto chybu zabezpečenia. Výskum tretích strán je jedným zo spôsobov, ako sa pre používateľov posilňuje systém Android. Po získaní informácií o tejto zraniteľnosti sme rýchlo vydali opravu, ktorá bola distribuovaná partnerom Androidu, ako aj AOSP. „Aplikácie Google Play a Verify boli tiež vylepšené, aby chránili používateľov pred týmto problémom. V súčasnosti sme skontrolovali všetky aplikácie odoslané do Google Play, ako aj aplikácie, ktoré Google skontroloval mimo Google Play, a nevideli sme žiadne dôkazy o pokusoch. zneužitie tejto zraniteľnosti. ““

Spoločnosť Sony nám tiež povedala, že pracuje na tlačení opravy Fake ID na svoje zariadenia.