'Lažni id' i android sigurnost [ažurirano]

Danas je tvrtka za istraživanje sigurnosti BlueBox - ista tvrtka koja je otkrila takozvanu ranjivost Androida "Master Key" - objavila otkriće greške u načinu na koji Android postupa s potvrdama identiteta koje se koriste za potpisivanje aplikacija. Ranjivost koju je BlueBox nazvao "lažni ID" omogućuje zlonamjernim aplikacijama da se pridruže certifikatima iz zakonitih aplikacija, čime dobivaju pristup stvarima kojima ne bi trebali imati pristup.

Sigurnosne ranjivosti poput ovog zvuče zastrašujuće, a već smo vidjeli jedan ili dva hiperbolička naslova danas kako se ova priča raspala. Ipak, bilo kakva greška koja omogućuje aplikacijama da rade ono što ne bi trebala biti ozbiljan problem. Dakle, ukratko rezimirajmo što se događa, što to znači za sigurnost Androida i vrijedi li se brinuti …

Ažuriranje: Ovaj smo članak ažurirali kako bi od Google-a potvrdio da su i Play Store i "Provjeri aplikacije" doista ažurirani kako bi riješili pogrešku lažnog ID-a. To znači da velika većina aktivnih Googleovih Android uređaja već ima određenu zaštitu od ovog problema, o čemu će biti riječi u daljnjem članku. Googleova izjava u cijelosti možete pronaći na kraju ovog posta.

Problem - Dodgy certifikati

"Lažni ID" proizlazi iz pogreške u programu za instalaciju Android paketa.

Prema BlueBoxu, ranjivost proizlazi iz problema u programu za instalaciju Android paketa, dijelu OS-a koji upravlja instalacijom aplikacija. Instalacijski paket očito ne provjerava ispravnost "lanaca" digitalnih certifikata, omogućavajući zlonamjernom certifikatu da tvrdi da ga je izdala pouzdana stranka. To je problem jer određeni digitalni potpisi pružaju aplikacijama privilegirani pristup nekim funkcijama uređaja. Primjerice, s Androidom 2.2-4.3, aplikacije s Adobe-ovim potpisom dobivaju poseban pristup sadržaju internetskog pregleda - što je uvjet za podršku Adobe Flash-a koji ako se zloporabi može stvoriti probleme. Slično tome, lažiranje potpisa aplikacije koja ima povlašteni pristup hardveru koji se koristi za sigurna plaćanja putem NFC-a može dopustiti da zlonamjerna aplikacija presreće osjetljive financijske podatke.

Što je zabrinjavajuće, zlonamjerni certifikat mogao bi se koristiti i za lažno predstavljanje određenog softvera za upravljanje udaljenim uređajima, kao što je 3LM, koji koriste neki proizvođači i pruža široku kontrolu nad uređajem.

Kao što piše istraživač BlueBoxa Jeff Foristall:

"Potpisi aplikacije igraju važnu ulogu u sigurnosnom modelu Androida. Potpisom aplikacije utvrđuje se tko može ažurirati aplikaciju, koje aplikacije mogu dijeliti njene podatke itd. Određena dopuštenja, koja se koriste za pristup pristupu funkcijama, mogu se koristiti samo u aplikacijama koje imaju isti potpis kao autor dozvole. Što je još zanimljivije, vrlo specifični potpisi daju posebne povlastice u određenim slučajevima."

Iako problem Adobe / webview ne utječe na Android 4.4 (jer se webview sada temelji na Chromiumu, koji nema iste Adobe kuke), pogreška instalacijskog paketa očito i dalje utječe na neke verzije KitKat-a. U izjavi za Android Central Google rekao je: "Nakon što smo dobili riječ o ovoj ranjivosti, brzo smo izdali zakrpu koja je distribuirana Android partnerima, kao i Android Open Source projektu."

Google kaže da nema dokaza da se lažna identifikacija iskorištava u divljini.

S obzirom na to da BlueBox kaže da je o tome obavijestio Google u travnju, vjerojatno će bilo popravke biti uključeno u Android 4.4.3, a možda i neke sigurnosne zakrpe temeljene na 4.2.2 od OEM-ova. (Pogledajte ovu obvezu koda - hvala Anantu Shrivastava.) Početno testiranje vlastitom aplikacijom BlueBox pokazuje da europski LG G3, Samsung Galaxy S5 i HTC One M8 ne utječu na lažni ID. Potražili smo glavne Androidove OEM-ove da otkrijemo koji su drugi uređaji ažurirani.

Što se tiče specifičnosti vulgarne lažne ID, Forristal kaže kako će otkriti više o konferenciji Black Hat u Las Vegasu, 2. kolovoza. U izjavi Google je rekao da je skenirao sve aplikacije u svojoj Play Storeu, a neke su ugostile u drugim trgovinama aplikacija i nisu pronašli nikakve dokaze da se eksploatacija koristi u stvarnom svijetu.

Rješenje - ispravljanje Android grešaka s Google Playom

Putem Play Services Google može učinkovito ukloniti ovu grešku u većinu aktivnog Android ekosustava.

Lažni ID ozbiljna je sigurnosna ranjivost koja bi, ako se pravilno cilja, mogla omogućiti napadaču da napravi ozbiljnu štetu. A kako je osnovni programski program tek nedavno riješen u AOSP-u, može se činiti da je velika većina Android telefona otvorena za napad i tako će ostati u doglednoj budućnosti. Kao što smo već raspravljali, zadatak ažuriranja milijarde ili toliko aktivnih Android telefona ogroman je izazov, a "fragmentacija" je problem ugrađen u Android-ovu DNK. Ali Google ima adut da se bavi kada se bavi sigurnosnim pitanjima poput ove - Google Play Services.

Kao što Play Services dodaje nove značajke i API-je bez potrebe za ažuriranjem upravljačkog softvera, također se može koristiti za umetanje sigurnosnih rupa. Prije nekog vremena Google je uslugama Google Play dodao značajku "potvrdi aplikacije" kao način za skeniranje bilo koje aplikacije prije zlonamjernog sadržaja prije nego što su instalirane. Štoviše, uključeno je prema zadanim postavkama. U Androidu 4.2 i novijoj verziji živi pod Postavke> Sigurnost; na starijim verzijama pronaći ćete ga u Google postavkama> Provjeri aplikacije. Kao što je Sundar Pichai rekao na Google I / O 2014, 93 posto aktivnih korisnika nalazi se na najnovijoj verziji usluga Google Play. Čak i naš drevni LG Optimus Vu, koji ima Android 4.0.4 Ice Cream Sandwich, ima opciju "potvrdi aplikacije" od Play Services da bi se zaštitio od zlonamjernog softvera.

Google je potvrdio za Android Central da su značajka "potvrdi aplikacije" i Google Play ažurirani kako bi zaštitili korisnike od ovog problema. Zapravo, sigurnosni propusti na razini aplikacije poput ove upravo su ono što je dizajnirano za rješavanje značajke "potvrdi aplikacije". To značajno ograničava utjecaj lažnog ID-a na bilo koji uređaj koji koristi ažuriranu verziju Google Play usluga - daleko od toga da su svi Android uređaji ranjivi, Google-ovo postupanje u vezi s lažnim ID-om putem Play usluga učinkovito ga je poništilo prije nego što je problem uopće postao dostupan znanje.

Saznat ćemo više kada informacije o bugi postanu dostupne u Black Hat-u. No, budući da Googleov verifikator aplikacija i Play Store mogu uhvatiti aplikacije pomoću lažnog ID-a, tvrdnja BlueBoxa da su "svi korisnici Androida od siječnja 2010." u opasnosti izgleda pretjerano. (Iako je doduše, korisnici koji pokreću uređaj s verzijom Androida koji nije odobren od Googlea ostaju u ljepšoj situaciji.)

Pustiti Play Services da djeluje kao vratar, rješenje je zaustavljanja, ali je prilično učinkovito.

Bez obzira na to, činjenica da je Google upoznat s lažnim ID-om od travnja čini ga malo vjerojatnim da će se bilo koje aplikacije koje koriste exploit prebaciti na Play Store u budućnosti. Kao i većina sigurnosnih problema sa sustavom Android, najlakši i najučinkovitiji način rješavanja lažnog ID-a jest biti pametan odakle dolazite svoje aplikacije.

Zasigurno, zaustavljanje ranjivosti od eksploatacije nije isto što i potpuno uklanjanje. U idealnom svijetu Google bi mogao pritisnuti ažuriranje putem Interneta na svaki Android uređaj i zauvijek ukloniti problem, baš kao što to čini i Apple. Pustiti da Play Services i Play Store djeluju kao čuvari vrata zaustavno su rješenje, ali s obzirom na veličinu i široku prirodu Android ekosustava, prilično je učinkovit.

Ne čini se u redu da mnogi proizvođači još predugo traju da bi istisnuli važna sigurnosna ažuriranja uređaja, posebno manje poznatih, jer problemi poput ove obično ističu. Ali puno je bolje nego ništa.

Važno je biti svjestan sigurnosnih problema, pogotovo ako ste korisnik pametnog Androida - ona vrsta kojoj se obični ljudi obraćaju za pomoć kad nešto ne bude u redu s njihovim telefonom. No, dobra je ideja stvari držati u perspektivi i imati na umu da nije važna samo ranjivost, već i mogući vektor napada. U slučaju ekosustava pod nadzorom Googlea, usluge Play Store i Play dva su moćna alata s kojima Google može upravljati zlonamjernim softverom.

Zato budite sigurni i budite pametni. Obavijestit ćemo vas o svim daljnjim informacijama o lažnom ID-u glavnih proizvođača opreme za Android.

Ažuriranje: Glasnogovornik Googlea dostavio je Android Centralu sljedeću izjavu:

"Cijenimo Bluebox koji nam odgovorno prijavljuje ovu ranjivost; istraživanje trećih strana jedan je od načina na koji je Android jača za korisnike. Nakon primitka riječi o toj ranjivosti, brzo smo izdali zakrpu koja je distribuirana Android partnerima, kao i AOSP-u.. Google Play i Verify Apps također su poboljšani kako bi zaštitili korisnike od ovog problema. Trenutno smo skenirali sve aplikacije poslane na Google Play kao i one koje je Google pregledao izvan Google Play-a i nismo vidjeli nikakve dokaze o pokušaju iskorištavanje ove ranjivosti."

Sony nam je također rekao da radi na potiskivanju ispravke lažne ID-ove na svoje uređaje.