Dnes firma zabývající se bezpečnostním výzkumem BlueBox - stejná společnost, která odhalila tzv Chyba zabezpečení „hlavního klíče“ systému Android - oznámila objev chyby ve způsobu, jakým Android zpracovává certifikáty identity používané k podepisování aplikací. Zranitelnost, kterou BlueBox nazval „Fake ID“, umožňuje škodlivým aplikacím přidružit se k certifikátům od legitimních aplikací, a získat tak přístup k věcem, ke kterým by neměly mít přístup.
Zranitelnost zabezpečení, jako je tato, zní děsivě a dnes jsme již viděli jeden nebo dva hyperbolické titulky, protože tento příběh se zlomil. Jakákoli chyba, která aplikacím umožňuje dělat věci, které by neměly, je vážným problémem. Pojďme si tedy shrnout, co se děje ve zkratce, co to znamená pro zabezpečení Androidu a zda stojí za to si dělat starosti ...
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Aktualizace: Aktualizovali jsme tento článek, aby odrážel potvrzení od společnosti Google, že jak Obchod Play, tak funkce „ověřování aplikací“ byly skutečně aktualizovány, aby řešily chybu Fake ID. To znamená, že drtivá většina aktivních zařízení Google Android již má určitou ochranu před tímto problémem, jak je popsáno dále v článku. Celé prohlášení Google najdete na konci tohoto příspěvku.
Problém - riskantní certifikáty
„Falešné ID“ pochází z chyby v instalačním balíčku pro Android.
Podle BlueBoxu tato chyba zabezpečení pramení z problému v instalačním balíčku pro Android, části OS, která se stará o instalaci aplikací. Instalační balíček zjevně nesprávně ověřuje pravost řetězců digitálních certifikátů, což umožňuje škodlivému certifikátu tvrdit, že byl vydán důvěryhodnou stranou. To je problém, protože některé digitální podpisy poskytují aplikacím privilegovaný přístup k některým funkcím zařízení. Například s Androidem 2.2-4.3 mají aplikace nesoucí podpis Adobe zvláštní přístup k obsahu webového zobrazení - požadavek podpory Adobe Flash, který by při nesprávném použití mohl způsobit problémy. Podobně spoofing podpisu aplikace, která má privilegovaný přístup k hardwaru používanému pro zabezpečené platby přes NFC, může škodlivé aplikaci umožnit zachytit citlivé finanční informace.
Ještě znepokojivější je, že škodlivý certifikát lze také použít k zosobnění určitého vzdáleného zařízení software pro správu, jako je 3LM, který používají někteří výrobci a poskytuje rozsáhlou kontrolu nad a přístroj.
Jak píše výzkumník BlueBox Jeff Foristall:
„Podpisy aplikací hrají v modelu zabezpečení Androidu důležitou roli. Podpis aplikace určuje, kdo může aplikaci aktualizovat, jaké aplikace mohou sdílet její [sic] data atd. Některá oprávnění sloužící k přístupu k funkcím brány jsou použitelná pouze aplikacemi, které mají stejný podpis jako tvůrce oprávnění. Zajímavější je, že velmi specifickým podpisům jsou v určitých případech přidělena zvláštní oprávnění. “
Zatímco problém s Adobe / webview neovlivňuje Android 4.4 (protože webview je nyní založen na Chromium, který nemá stejné háčky Adobe), základní chyba instalačního balíčku zjevně některé nadále ovlivňuje verze Kit Kat. Ve vyjádření uděleném Android Central Google uvedl: „Po obdržení zprávy o této chybě zabezpečení jsme rychle vydali opravu, která byla distribuována partnerům Androidu a také projektu Android Open Source.“
Google tvrdí, že neexistují žádné důkazy o tom, že by „Fake ID“ bylo ve volné přírodě využíváno.
Vzhledem k tomu, že BlueBox říká, že v dubnu informoval Google, je pravděpodobné, že jakákoli oprava bude zahrnuta do systému Android 4.4.3 a případně některých bezpečnostních oprav založených na 4.4.2 od výrobců OEM. (Vidět tento kód odevzdat - dík Anant Shrivastava.) Počáteční testování s vlastní aplikací BlueBox ukazuje, že evropské LG G3, Samsung Galaxy S5 a HTC One M8 nejsou falešnými ID ovlivněny. Oslovili jsme hlavní výrobce zařízení Android, abychom zjistili, která další zařízení byla aktualizována.
Pokud jde o specifika Fake ID vuln, Forristal říká, že o něm prozradí více na konferenci Black Hat v Las Vegas v srpnu. 2. Ve svém prohlášení Google uvedl, že naskenoval všechny aplikace ve svém Obchodě Play a některé hostoval v jiných obchodech s aplikacemi a nenašel žádné důkazy o tom, že by exploit byl používán ve skutečném světě.
Řešení - Oprava chyb systému Android pomocí Google Play
Prostřednictvím služeb Play může Google účinně kastrovat tuto chybu ve většině aktivního ekosystému Android.
Falešné ID je závažná chyba zabezpečení, která by při správném zacílení mohla útočníkovi způsobit vážné škody. A protože základní chyba byla v AOSP řešena teprve nedávno, mohlo by se zdát, že velká většina telefonů se systémem Android je napadena a v dohledné budoucnosti tak zůstane. Jak jsme již diskutovali, úkol získat přibližně miliardu aktivních telefonů Android je obrovská výzva a „fragmentace“ je problém, který je zabudován do DNA Androidu. Google však má při řešení bezpečnostních problémů, jako je tento - trumf, který může hrát - služby Google Play.
Stejně jako služby Play přidává nové funkce a API bez nutnosti aktualizace firmwaru, lze jej také použít k zasunutí bezpečnostních otvorů. Před nějakou dobou Google přidal do služeb Google Play funkci „ověřit aplikace“ jako způsob kontroly škodlivého obsahu u všech aplikací před jejich instalací. Navíc je ve výchozím nastavení zapnutá. V Androidu 4.2 a novějším to žije v Nastavení> Zabezpečení; ve starších verzích ji najdete v části Nastavení Google> Ověřit aplikace. Jak řekl Sundar Pichai na Google I / O 2014, 93 procent aktivních uživatelů používá nejnovější verzi služeb Google Play. Dokonce i naše staré LG Optimus Vu se systémem Android 4.0.4 Zmrzlinový sendvič, má možnost „ověřit aplikace“ od Služeb Play, aby byla chráněna před malwarem.
Google potvrdil pro Android Central že funkce „ověřit aplikace“ a Google Play byly aktualizovány, aby chránily uživatele před tímto problémem. Opravdu takové chyby zabezpečení na úrovni aplikace jsou přesně to, k čemu je funkce „ověření aplikací“ navržena. To významně omezuje dopad Fake ID na jakékoli zařízení, na kterém běží aktuální verze služeb Google Play - zdaleka ne Všechno Zařízení Android, která jsou zranitelná, akce společnosti Google zaměřená na falešné ID prostřednictvím služeb Play ji účinně kastrovala ještě předtím, než se problém stal veřejně známým.
Další informace zjistíme, až budou informace o chybě k dispozici v Black Hat. Ale protože ověřovatel aplikací Google a Obchod Play mohou zachytit aplikace pomocí Fake ID, tvrzení BlueBoxu, že jsou ohroženi „všichni uživatelé Androidu od ledna 2010“, se zdá přehnané. (I když je pravda, že uživatelé, kteří používají zařízení s verzí systému Android neschválenou společností Google, jsou ponecháni v lepším stavu.)
Skutečnost, že Google si je vědoma falešných ID od dubna, je velmi nepravděpodobné, že by se aplikace využívající tuto explozi v budoucnu dostaly do obchodu Play. Stejně jako většina problémů se zabezpečením systému Android, nejjednodušší a nejúčinnější způsob, jak se vypořádat s falešným ID, je být chytrý v tom, odkud máte své aplikace.
Zastavení zneužití zranitelnosti jistě není totéž jako úplné odstranění. V ideálním světě by Google dokázal poslat bezdrátovou aktualizaci do každého zařízení Android a problém navždy odstranit, stejně jako to dělá Apple. Nechat služby Play a obchod Play působit jako vrátní je řešení mezery, ale vzhledem k velikosti a rozlehlé povaze ekosystému Android je to docela efektivní řešení.
Nedělá to dobře, že mnoha výrobcům stále trvá příliš dlouho, než vydávají důležité aktualizace zabezpečení do zařízení, zejména těch méně známých, protože takové problémy mají tendenci zdůrazňovat. Ale je to hodně lepší než nic.
Je důležité si uvědomit bezpečnostní problémy, zejména pokud jste technicky zdatní uživatelé Androidu - ten typ lidí, na které se běžní lidé obracejí o pomoc, když se s jejich telefonem něco pokazí. Je ale také dobrý nápad držet věci v perspektivě a pamatovat, že důležitá není jen zranitelnost, ale také možný vektor útoku. V případě ekosystému ovládaného společností Google jsou Obchod Play a Služby Play dva výkonné nástroje, se kterými Google dokáže zpracovat malware.
Zůstaňte tedy v bezpečí a buďte chytří. Budeme vás informovat o jakýchkoli dalších informacích o Fake ID od hlavních výrobců zařízení Android.
Aktualizace: Mluvčí Google poskytl Android Central s následujícím prohlášením:
„Oceňujeme, že nám Bluebox zodpovědně hlásí tuto chybu zabezpečení; výzkum třetích stran je jedním ze způsobů, jak je Android pro uživatele silnější. Po obdržení zprávy o této chybě zabezpečení jsme rychle vydali opravu, která byla distribuována partnerům Androidu a AOSP. Z důvodu ochrany uživatelů před tímto problémem byly také vylepšeny aplikace Google Play a Verify. V tuto chvíli jsme prohledali všechny aplikace odeslané na Google Play i ty, které Google má zkontrolováno mimo Google Play a neviděli jsme žádné důkazy o pokusu o zneužití této možnosti zranitelnost."
Sony nám také řekla, že pracuje na zavedení opravy Fake ID do svých zařízení.
Poslouchali jste tento týden Android Central Podcast?
Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.
- Přihlaste se k odběru v kapesních obsazeních: Zvuk
- Přihlaste se k odběru ve Spotify: Zvuk
- Přihlásit se k odběru v iTunes: Zvuk
Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistit více.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Toto jsou nejlepší kapely pro Fitbit Sense a Versa 3.
Spolu s vydáním Fitbit Sense a Versa 3 společnost představila také nová nekonečná pásma. Vybrali jsme ty nejlepší, abychom vám usnadnili práci.