„Фалшив идентификатор“ и защита на Android [Актуализирано]

Днес фирмата за проучване на сигурността BlueBox - същата компания, която разкри т.нар Уязвимост „Основен ключ“ на Android - обяви откриването на грешка в начина, по който Android обработва удостоверенията за самоличност, използвани за подписване на приложения. Уязвимостта, която BlueBox нарече „Фалшив идентификатор“, позволява на зловредните приложения да се свързват със сертификати от легитимни приложения, като по този начин получават достъп до неща, до които не би трябвало да имат достъп.

Уязвимостите в сигурността като това звучат страшно и вече видяхме едно или две хиперболични заглавия днес, тъй като тази история се счупи. Независимо от това, всяка грешка, която позволява на приложенията да правят неща, които не би трябвало, е сериозен проблем. Така че нека обобщим какво се случва накратко, какво означава за сигурността на Android и дали си струва да се притеснявате ...

Актуализация: Актуализирахме тази статия, за да отразим потвърждението от Google, че както Play Store, така и функцията „Проверка на приложения“ наистина са актуализирани, за да отстранят грешката с Fake ID. Това означава, че по-голямата част от активните устройства на Google Android вече имат известна защита от този проблем, както е обсъдено по-нататък в статията. Изявлението на Google изцяло може да бъде намерено в края на тази публикация.

Проблемът - Dodgy сертификати

„Фалшив идентификатор“ произтича от грешка в инсталатора на пакета за Android.

Според BlueBox уязвимостта произтича от проблем в инсталатора на пакети за Android, частта от операционната система, която се занимава с инсталирането на приложения. Инсталаторът на пакети очевидно не проверява правилно автентичността на "веригите" на цифровите сертификати, позволявайки на злонамерен сертификат да твърди, че е издаден от доверена страна. Това е проблем, тъй като определени цифрови подписи предоставят на приложенията привилегирован достъп до някои функции на устройството. Например с Android 2.2-4.3 на приложенията, носещи подписа на Adobe, се предоставя специален достъп до съдържание за уеб изгледи - изискване за поддръжка на Adobe Flash, което при злоупотреба може да доведе до проблеми. По същия начин фалшифицирането на подпис на приложение, което има привилегирован достъп до хардуера, използван за сигурни плащания през NFC, може да позволи на злонамерено приложение да прихваща чувствителна финансова информация.

По-тревожното е, че злонамерен сертификат може да се използва и за представяне на определено отдалечено устройство софтуер за управление, като 3LM, който се използва от някои производители и предоставя широк контрол върху a устройство.

Както пише изследователят на BlueBox Джеф Фористал:

„Подписите на приложения играят важна роля в модела за сигурност на Android. Подписът на приложението определя кой може да актуализира приложението, какви приложения могат да споделят неговите [sic] данни и т.н. Някои разрешения, използвани за достъп до функционалност, се използват само от приложения, които имат същия подпис като създателя на разрешения. По-интересното е, че много конкретни подписи получават специални привилегии в определени случаи. "

Въпреки че проблемът с Adobe / webview не засяга Android 4.4 (тъй като webview вече се основава на Chromium, който няма същите куки на Adobe), основната грешка в инсталатора на пакети очевидно продължава да засяга някои версии на Kit Kat. В изявление, дадено на Android Central Google каза: „След като получихме съобщение за тази уязвимост, бързо издадохме корекция, която беше разпространена сред партньорите на Android, както и до Android Open Project Project“.

Google казва, че няма доказателства, че „фалшив идентификатор“ се експлоатира в дивата природа.

Като се има предвид, че BlueBox казва, че е информирал Google през април, вероятно е някаква корекция да е била включена в Android 4.4.3 и вероятно някои базирани на 4.4.2 корекции за сигурност от производителите. (Вижте този код се ангажира - Благодаря Анант Шривастава.) Първоначалното тестване със собственото приложение на BlueBox показва, че европейските LG G3, Samsung Galaxy S5 и HTC One M8 не са засегнати от Fake ID. Свързахме се с основните OEM производители на Android, за да разберем кои други устройства са актуализирани.

Що се отнася до спецификата на Fake ID vuln, Forristal казва, че ще разкрие повече за това на конференцията Black Hat в Лас Вегас на август. 2. В изявлението си Google заяви, че е сканирал всички приложения в своя Play Store и някои хоствани в други магазини за приложения и не е намерил доказателства, че експлойтът се използва в реалния свят.

Решението - Поправяне на грешки в Android с Google Play

Чрез Play Services Google може ефективно да кастрира тази грешка в повечето от активната екосистема на Android.

Фалшивият идентификатор е сериозна уязвимост в сигурността, която при правилно насочване може да позволи на нападателя да нанесе сериозни щети. И тъй като основната грешка е разгледана наскоро в AOSP, може да изглежда, че по-голямата част от телефоните с Android са отворени за атаки и ще останат такива в обозримо бъдеще. Както вече обсъждахме, задачата да актуализираме около милиарда активни телефони с Android е огромно предизвикателство, а "фрагментацията" е проблем, който е вграден в ДНК на Android. Но Google има коз за игра, когато се занимава с проблеми със сигурността като този - Google Play Services.

Точно като Play Services добавя нови функции и API, без да изисква актуализация на фърмуера, може да се използва и за запушване на дупки в сигурността. Преди известно време Google добави функция „Проверка на приложения“ към услугите на Google Play като начин да сканира всички приложения за злонамерено съдържание, преди да бъдат инсталирани. Нещо повече, той е включен по подразбиране. В Android 4.2 и по-нови той живее под Настройки> Защита; на по-старите версии ще го намерите в Настройки на Google> Проверка на приложенията. Както каза Сундар Пичай на Google I / O 2014, 93 процента от активните потребители са с най-новата версия на услугите на Google Play. Дори нашият древен LG Optimus Vu, работещ с Android 4.0.4 Сладоледен сандвич, има опцията "потвърждаване на приложения" от Play Services, за да се пази от зловреден софтуер.

Google потвърди Android Central че функцията „потвърждаване на приложения“ и Google Play са актуализирани, за да защитят потребителите от този проблем. Всъщност такива грешки в сигурността на приложения като тази са точно това, с което е предназначена функцията за "проверка на приложенията". Това значително ограничава въздействието на Fake ID върху всяко устройство, работещо с актуална версия на Google Play Services - далеч от това всичко Устройствата с Android са уязвими, действието на Google за справяне с Fake ID чрез Play Services ефективно го кастрира, преди проблемът дори да стане обществено достояние.

Ще разберем повече, когато информацията за грешката стане достъпна в Black Hat. Но тъй като верификаторът на приложения на Google и Play Store могат да улавят приложения, използвайки Fake ID, твърдението на BlueBox, че "всички потребители на Android от януари 2010 г." са изложени на риск, е пресилено. (Макар и да се признае, потребителите, работещи с устройство с неодобрена от Google версия на Android, остават в по-неприятна ситуация.)

Независимо от това, фактът, че Google е наясно с Fake ID от април, е много малко вероятно приложенията, използващи експлоата, да влязат в Play Store в бъдеще. Подобно на повечето проблеми със сигурността на Android, най-лесният и най-ефективен начин да се справите с Fake ID е да бъдете интелигентни откъде получавате приложенията си.

Със сигурност спирането на дадена експлоатация на уязвимост не е същото като премахването й изобщо. В идеалния свят Google би могъл да изпрати ефирна актуализация на всяко устройство с Android и да елиминира проблема завинаги, точно както прави Apple. Оставянето на Play Services и Play Store да действат като вратари е решение за спиране, но като се има предвид размерът и разтегнатият характер на екосистемата на Android, това е доста ефективно.

Това не прави добре, че много производители все още отнемат твърде много време, за да изтласкат важни актуализации на защитата на устройства, особено по-малко известни, тъй като проблеми като този са склонни да подчертават. Но това е много по-добре от нищо.

Важно е да сте наясно с проблемите със сигурността, особено ако сте технически подкован потребител на Android - човекът, към който обикновените хора се обръщат за помощ, когато нещо се обърка с телефона им. Но също така е добра идея да държите нещата в перспектива и не забравяйте, че не само уязвимостта е важна, но и възможният вектор на атака. В случая на контролираната от Google екосистема, Play Store и Play Services са два мощни инструмента, с които Google може да борави със зловреден софтуер.

Така че бъдете в безопасност и бъдете умни. Ще ви държим в течение с допълнителна информация за фалшив идентификатор от основните производители на Android за Android.

Актуализация: Говорител на Google е предоставил Android Central със следното изявление:

„Оценяваме Bluebox, че ни съобщава отговорно за тази уязвимост; Изследванията на трети страни са един от начините, по които Android става по-силен за потребителите. След като получихме съобщение за тази уязвимост, бързо издадохме корекция, която беше разпространена сред партньорите на Android, както и до AOSP. Приложенията Google Play и Verify също са подобрени, за да защитят потребителите от този проблем. Понастоящем сканирахме всички приложения, подадени в Google Play, както и тези, които Google има прегледани извън Google Play и не видяхме доказателства за опит за експлоатация на това уязвимост. "

Sony също ни каза, че работи върху изтласкването на фалшивата идентификация на своите устройства.