"معرف مزيف" وأمان Android [محدث]

اليوم شركة الأبحاث الأمنية BlueBox - نفس الشركة التي كشفت عن ما يسمى ب ثغرة Android "Master Key" - أعلن عن اكتشاف خطأ في طريقة تعامل Android مع شهادات الهوية المستخدمة لتوقيع التطبيقات. الثغرة الأمنية ، التي أطلق عليها BlueBox اسم "Fake ID" ، تسمح للتطبيقات الخبيثة بربط نفسها بشهادات من تطبيقات مشروعة ، وبالتالي الوصول إلى الأشياء التي لا ينبغي لها الوصول إليها.

الثغرات الأمنية مثل هذا الصوت مخيف ، وقد رأينا بالفعل واحدًا أو اثنين من العناوين الزائدية اليوم حيث تم كسر هذه القصة. ومع ذلك ، فإن أي خلل يتيح للتطبيقات القيام بأشياء لا يفترض أن تفعلها يمثل مشكلة خطيرة. لذلك دعونا نلخص ما يحدث باختصار ، وما يعنيه ذلك بالنسبة لأمان Android ، وما إذا كان الأمر يستحق القلق بشأن ...

تحديث: لقد قمنا بتحديث هذه المقالة لتعكس تأكيدًا من Google على أنه تم بالفعل تحديث كل من متجر Play وميزة "التحقق من التطبيقات" لمعالجة خطأ Fake ID. هذا يعني أن الغالبية العظمى من أجهزة Google Android النشطة تتمتع بالفعل ببعض الحماية من هذه المشكلة ، كما تمت مناقشته لاحقًا في المقالة. يمكن العثور على بيان Google بالكامل في نهاية هذا المنشور.

المشكلة - شهادات المراوغة

ينبع 'Fake ID' من خطأ في مثبت حزمة Android.

وفقًا لـ BlueBox ، تنبع الثغرة الأمنية من مشكلة في مثبت حزمة Android ، وهو جزء من نظام التشغيل يتولى تثبيت التطبيقات. يبدو أن مُثبِّت الحزمة لا يتحقق بشكل صحيح من مصداقية "سلاسل" الشهادات الرقمية ، مما يسمح للشهادة الضارة بالمطالبة بإصدارها من قبل جهة موثوق بها. هذه مشكلة لأن بعض التوقيعات الرقمية توفر للتطبيقات وصولاً مميزًا إلى بعض وظائف الجهاز. مع Android 2.2-4.3 ، على سبيل المثال ، يتم منح التطبيقات التي تحمل توقيع Adobe وصولاً خاصًا إلى محتوى عرض الويب - وهو مطلب لدعم Adobe Flash والذي إذا أسيء استخدامه يمكن أن يسبب مشاكل. وبالمثل ، فإن انتحال توقيع تطبيق يتمتع بامتياز الوصول إلى الأجهزة المستخدمة في المدفوعات الآمنة عبر NFC قد يسمح لتطبيق ضار باعتراض المعلومات المالية الحساسة.

والأمر الأكثر إثارة للقلق هو أنه يمكن أيضًا استخدام شهادة ضارة لانتحال شخصية جهاز بعيد معين برامج الإدارة ، مثل 3LM ، التي تستخدمها بعض الشركات المصنعة وتمنح تحكمًا شاملاً في أ جهاز.

كتب الباحث في بلوبوكس جيف فوريستال

"تلعب توقيعات التطبيق دورًا مهمًا في نموذج أمان Android. يحدد توقيع التطبيق من يمكنه تحديث التطبيق ، والتطبيقات التي يمكنها مشاركة بياناتها [كذا] ، وما إلى ذلك. بعض الأذونات ، المستخدمة لبوابة الوصول إلى الوظائف ، قابلة للاستخدام فقط بواسطة التطبيقات التي لها نفس التوقيع مثل منشئ الإذن. والأمر الأكثر إثارة للاهتمام هو أن التوقيعات المحددة للغاية تُمنح امتيازات خاصة في بعض الحالات ".

بينما لا تؤثر مشكلة Adobe / webview على Android 4.4 (لأن عرض الويب يعتمد الآن على Chromium ، والذي ليس لديه نفس Adobe hooks) ، يبدو أن خطأ مثبت الحزمة الأساسي يستمر في التأثير على البعض إصدارات من كت كات. في بيان يعطى ل Android Central قالت Google ، "بعد تلقي كلمة عن هذه الثغرة الأمنية ، أصدرنا بسرعة تصحيحًا تم توزيعه على شركاء Android ، وكذلك على مشروع Android Open Source Project."

تقول Google إنه لا يوجد دليل على استغلال "الهوية المزيفة" في البرية.

بالنظر إلى أن BlueBox تقول إنها أبلغت Google في أبريل ، فمن المحتمل أن يتم تضمين أي إصلاح في Android 4.4.3 ، وربما بعض تصحيحات الأمان المستندة إلى 4.4.2 من مصنعي المعدات الأصلية. (نرى هذا الرمز الالتزام - شكر أنانت شريفاستافا.) يُظهر الاختبار الأولي باستخدام تطبيق BlueBox الخاص أن هواتف LG G3 الأوروبية و Samsung Galaxy S5 و HTC One M8 لا تتأثر بـ Fake ID. لقد تواصلنا مع كبار مصنعي أجهزة Android لمعرفة الأجهزة الأخرى التي تم تحديثها.

بالنسبة إلى تفاصيل Fake ID vuln ، يقول Forristal إنه سيكشف المزيد عنها في مؤتمر Black Hat في لاس فيجاس في أغسطس. 2. وقالت جوجل في بيانها إنها قامت بفحص جميع التطبيقات في متجر Play الخاص بها ، وبعضها مستضاف في متاجر تطبيقات أخرى ، ولم تجد أي دليل على أن الاستغلال يتم استخدامه في العالم الحقيقي.

الحل - إصلاح أخطاء Android باستخدام Google Play

من خلال Play Services ، يمكن لـ Google تحييد هذا الخطأ بشكل فعال عبر معظم نظام Android البيئي النشط.

المعرف المزيف هو ثغرة أمنية خطيرة إذا تم استهدافها بشكل صحيح فقد تسمح للمهاجم بإلحاق أضرار جسيمة. وبما أنه لم تتم معالجة الخطأ الأساسي إلا مؤخرًا في AOSP ، فقد يبدو أن الغالبية العظمى من هواتف Android مفتوحة للهجوم ، وستظل كذلك في المستقبل المنظور. كما ناقشنا من قبل ، تمثل مهمة تحديث مليار هاتف Android نشطًا أو نحو ذلك تحديًا هائلاً ، و "التجزئة" مشكلة مضمنة في الحمض النووي لنظام Android. لكن لدى Google ورقة رابحة لتلعبها عند التعامل مع مشكلات الأمان مثل هذه - خدمات Google Play.

تمامًا مثل خدمات Play يضيف ميزات وواجهات برمجة تطبيقات جديدة دون الحاجة إلى تحديث البرامج الثابتة، يمكن استخدامه أيضًا لسد الثغرات الأمنية. منذ بعض الوقت أضافت Google ميزة "التحقق من التطبيقات" إلى خدمات Google Play كطريقة لفحص أي تطبيقات بحثًا عن محتوى ضار قبل تثبيتها. علاوة على ذلك ، يتم تشغيله افتراضيًا. في الإصدار 4.2 من نظام التشغيل Android والإصدارات الأحدث ، توجد ضمن الإعدادات> الأمان في الإصدارات القديمة ، ستجده ضمن إعدادات Google> التحقق من التطبيقات. كما قال سوندار بيتشاي في Google I / O 2014، 93 بالمائة من المستخدمين النشطين يستخدمون أحدث إصدار من خدمات Google Play. حتى هاتف LG Optimus Vu القديم ، يعمل بنظام Android 4.0.4 سندويش الايسكريم، لديه خيار "التحقق من التطبيقات" من Play Services للحماية من البرامج الضارة.

جوجل أكدت ل Android Central أنه تم تحديث ميزة "التحقق من التطبيقات" و Google Play لحماية المستخدمين من هذه المشكلة. في الواقع ، فإن الأخطاء الأمنية على مستوى التطبيق مثل هذه هي بالضبط ما تم تصميم ميزة "التحقق من التطبيقات" للتعامل معها. هذا يحد بشكل كبير من تأثير Fake ID على أي جهاز يقوم بتشغيل إصدار محدث من خدمات Google Play - بعيدًا عن ذلك الكل نظرًا لكون أجهزة Android ضعيفة ، فقد أدى إجراء Google لمعالجة Fake ID عبر خدمات Play إلى تحييدها بشكل فعال قبل أن تصبح المشكلة معرفة عامة.

سنكتشف المزيد عندما تتوفر معلومات عن الخطأ في Black Hat. ولكن نظرًا لأن أداة التحقق من تطبيقات Google ومتجر Play Store يمكنها التقاط التطبيقات باستخدام Fake ID ، فإن ادعاء BlueBox بأن "جميع مستخدمي Android منذ يناير 2010" معرضون للخطر يبدو مبالغًا فيه. (على الرغم من أنه من المسلم به أن المستخدمين الذين يشغلون جهازًا بإصدار غير معتمد من Google من Android يتم تركهم في موقف أكثر صعوبة.)

بغض النظر ، حقيقة أن Google كانت على دراية بـ Fake ID منذ أبريل تجعل من غير المرجح أن تصل أي تطبيقات تستخدم الاستغلال إلى متجر Play في المستقبل. مثل معظم مشكلات أمان Android ، فإن الطريقة الأسهل والأكثر فاعلية للتعامل مع Fake ID هي أن تكون ذكيًا بشأن المكان الذي تحصل منه على تطبيقاتك.

من المؤكد أن إيقاف استغلال الثغرة لا يعني القضاء عليها تمامًا. في عالم مثالي ، ستكون Google قادرة على دفع تحديث عبر الأثير لكل جهاز يعمل بنظام Android والقضاء على المشكلة إلى الأبد ، تمامًا كما تفعل Apple. إن السماح لخدمات Play Store و Play Store بالعمل كحراس بوابة هو حل مؤقت ، ولكن نظرًا للحجم والطبيعة المترامية الأطراف لنظام Android البيئي ، فهو فعال جدًا.

لا يجعل الأمر مقبولاً أن العديد من الشركات المصنعة لا تزال تستغرق وقتًا طويلاً لدفع تحديثات الأمان المهمة للأجهزة ، خاصة الأقل شهرة منها ، حيث تميل مشكلات مثل هذه إلى إبرازها. لكنها أ كثيرا أفضل من لا شيء.

من المهم أن تكون على دراية بقضايا الأمان ، خاصةً إذا كنت من مستخدمي Android البارعين في التكنولوجيا - وهو النوع الذي يلجأ إليه الأشخاص العاديون للحصول على المساعدة عندما يحدث خطأ ما في هواتفهم. ولكن من الجيد أيضًا إبقاء الأمور في نصابها ، وتذكر أنه ليس فقط الثغرة الأمنية هي المهمة ، ولكن أيضًا عامل الهجوم المحتمل. في حالة النظام البيئي الذي تتحكم فيه Google ، فإن Play Store و Play Services هما أداتان قويتان يمكن لـ Google من خلالهما التعامل مع البرامج الضارة.

لذا ابق آمنا وابقى ذكيا. سنبقيك على اطلاع بأي معلومات إضافية حول Fake ID من شركات Android OEM الرئيسية.

تحديث: قدم المتحدث باسم Google Android Central بالبيان التالي:

"نحن نقدر Bluebox إبلاغنا بهذه الثغرة الأمنية بشكل مسؤول ؛ تعد أبحاث الطرف الثالث إحدى الطرق التي يتم بها جعل Android أقوى للمستخدمين. بعد تلقي كلمة عن هذه الثغرة الأمنية ، أصدرنا بسرعة تصحيحًا تم توزيعه على شركاء Android ، بالإضافة إلى AOSP. تم أيضًا تحسين تطبيقات Google Play و Verify لحماية المستخدمين من هذه المشكلة. في هذا الوقت ، قمنا بفحص جميع التطبيقات المقدمة إلى Google Play بالإضافة إلى التطبيقات التي قدمتها Google تمت المراجعة من خارج Google Play ولم نر أي دليل على محاولة استغلال ذلك عالي التأثر."

أخبرتنا Sony أيضًا أنها تعمل على دفع إصلاح Fake ID إلى أجهزتها.