I dag er sikkerhedsforskningsfirmaet BlueBox - det samme firma, der afdækkede den såkaldte Android "Master Key" sårbarhed - har meddelt opdagelsen af en fejl i den måde, hvorpå Android håndterer de identitetscertifikater, der bruges til at underskrive applikationer. Sårbarheden, som BlueBox har kaldt "Fake ID", tillader ondsindede apps at knytte sig til certifikater fra legitime apps og dermed få adgang til ting, de ikke burde have adgang til.
Sikkerhedsproblemer som dette lyder skræmmende, og vi har allerede set en eller to hyperbolske overskrifter i dag, da denne historie er brudt. Ikke desto mindre er enhver fejl, der lader apps gøre ting, de ikke skal være, et alvorligt problem. Så lad os opsummere, hvad der foregår i en nøddeskal, hvad det betyder for Android-sikkerhed, og om det er værd at bekymre sig om ...
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Opdatering: Vi har opdateret denne artikel for at afspejle bekræftelse fra Google om, at både Play Butik og "verificer apps" -funktionen faktisk er blevet opdateret for at løse falske ID-fejl. Dette betyder, at langt størstedelen af aktive Google Android-enheder allerede har en vis beskyttelse mod dette problem, som diskuteret senere i artiklen. Googles erklæring fuldt ud kan findes i slutningen af dette indlæg.
Problemet - Dodgy certifikater
'Fake ID' stammer fra en fejl i Android-pakkeinstallatøren.
Ifølge BlueBox stammer sårbarheden fra et problem i Android-pakkeinstallatøren, den del af operativsystemet, der håndterer installationen af apps. Pakkeinstallatøren verificerer tilsyneladende ikke korrekt ægtheden af digitale certifikat "kæder", hvilket tillader, at et ondsindet certifikat hævder, at det er udstedt af en betroet part. Det er et problem, fordi visse digitale signaturer giver apps privilegeret adgang til nogle enhedsfunktioner. Med Android 2.2-4.3 får apps, der bærer Adobes signatur, for eksempel særlig adgang til webvisningsindhold - et krav til Adobe Flash-support, der, hvis misbrugt, kan forårsage problemer. På samme måde kan spoofing af signaturen for en app, der har privilegeret adgang til den hardware, der bruges til sikre betalinger via NFC, muligvis lade en ondsindet app opfange følsomme økonomiske oplysninger.
Mere bekymrende kunne et ondsindet certifikat også bruges til at efterligne bestemte eksterne enheder administrationssoftware, såsom 3LM, som bruges af nogle producenter og giver omfattende kontrol over en enhed.
Som BlueBox-forsker Jeff Foristall skriver:
"Applikationssignaturer spiller en vigtig rolle i Android-sikkerhedsmodellen. En applikations signatur fastslår, hvem der kan opdatere applikationen, hvilke applikationer der kan dele [sic] -data osv. Visse tilladelser, der bruges til at gate adgang til funktionalitet, kan kun bruges af applikationer, der har den samme signatur som tilladelsesskaberen. Mere interessant er, at meget specifikke underskrifter i visse tilfælde får særlige privilegier. "
Mens Adobe / webview-problemet ikke påvirker Android 4.4 (fordi webviewet nu er baseret på Chromium, hvilket har ikke de samme Adobe-kroge), fortsætter den underliggende pakkeinstallationsfejl tilsyneladende med at påvirke nogle versioner af KitKat. I en erklæring givet til Android Central Google sagde: "Efter at have modtaget besked om denne sårbarhed, udstedte vi hurtigt en programrettelse, der blev distribueret til Android-partnere såvel som til Android Open Source Project."
Google siger, at der ikke er noget bevis for, at 'falsk ID' udnyttes i naturen.
I betragtning af at BlueBox siger, at det informerede Google i april, er det sandsynligt, at enhver rettelse er inkluderet i Android 4.4.3 og muligvis nogle 4.4.2-baserede sikkerhedsrettelser fra OEM'er. (Se denne kode begår - tak Anant Shrivastava.) Indledende test med BlueBoxs egen app viser, at den europæiske LG G3, Samsung Galaxy S5 og HTC One M8 ikke påvirkes af Fake ID. Vi har nået ud til de største Android-OEM'er for at finde ud af, hvilke andre enheder der er opdateret.
Hvad angår detaljerne i Fake ID vuln, siger Forristal, at han vil afsløre mere om på Black Hat Conference i Las Vegas den august. 2. I sin erklæring sagde Google, at de havde scannet alle apps i sin Play Butik, og nogle var hostet i andre appbutikker og ikke fandt noget bevis for, at udnyttelsen blev brugt i den virkelige verden.
Løsningen - Rettelse af Android-fejl med Google Play
Via Play Services kan Google effektivt neutralisere denne fejl på tværs af det meste af det aktive Android-økosystem.
Falske ID er en alvorlig sikkerhedssårbarhed, der, hvis den målrettes korrekt, kan gøre det muligt for en hacker at gøre alvorlig skade. Og da den underliggende fejl først for nylig er blevet behandlet i AOSP, ser det ud til, at langt størstedelen af Android-telefoner er åbne for angreb og vil forblive det i overskuelig fremtid. Som vi har diskuteret før, opgaven med at få de milliarder aktive Android-telefoner opdateret er en enorm udfordring, og "fragmentering" er et problem, der er indbygget i Android's DNA. Men Google har et trumfkort at spille, når man beskæftiger sig med sikkerhedsproblemer som dette - Google Play Services.
Ligesom Play Services tilføjer nye funktioner og API'er uden at kræve en firmwareopdatering, det kan også bruges til at tilslutte sikkerhedshuller. For et stykke tid siden tilføjede Google en "bekræft apps" -funktion til Google Play Services som en måde at scanne apps til ondsindet indhold, inden de installeres. Hvad mere er, det er tændt som standard. I Android 4.2 og opefter lever den under Indstillinger> Sikkerhed; på ældre versioner finder du det under Google Indstillinger> Bekræft apps. Som Sundar Pichai sagde kl Google I / O 201493 procent af de aktive brugere er på den nyeste version af Google Play-tjenester. Selv vores gamle LG Optimus Vu, der kører Android 4.0.4 Is-sandwich, har indstillingen "verificer apps" fra Play Services til at beskytte mod malware.
Google har bekræftet til Android Central at funktionen "bekræft apps" og Google Play er blevet opdateret for at beskytte brugerne mod dette problem. Faktisk er sikkerhedsfejl på dette niveau nøjagtigt hvad funktionen "verificer apps" er designet til at håndtere. Dette begrænser betydeligt virkningen af Fake ID på enhver enhed, der kører en opdateret version af Google Play Services - langt fra alle Da Android-enheder var sårbare, kastrerede Googles handling for at adressere falsk ID via Play Services det effektivt, før problemet overhovedet blev offentligt kendt.
Vi finder ud af mere, når information om fejlen bliver tilgængelig på Black Hat. Men da Googles app-verifikator og Play Store kan fange apps ved hjælp af Fake ID, synes BlueBoxs påstand om, at "alle Android-brugere siden januar 2010" er i fare, overdrevet. (Selvom det ganske vist er brugere, der kører en enhed med en ikke-Google-godkendt version af Android, er der en klæbrig situation.)
Uanset hvad det faktum, at Google har været opmærksom på Fake ID siden april, er det meget usandsynligt, at nogen apps, der bruger udnyttelsen, kommer ind på Play Store i fremtiden. Som de fleste Android-sikkerhedsproblemer er den nemmeste og mest effektive måde at håndtere Fake ID på at være smart om, hvor du får dine apps fra.
Det er bestemt ikke det samme at stoppe en sårbarhed i at blive udnyttet som at fjerne det helt. I en ideel verden ville Google være i stand til at skubbe en over-the-air opdatering til hver Android-enhed og fjerne problemet for evigt, ligesom Apple gør. At lade Play Services og Play Store fungere som gatekeepers er en stopgap-løsning, men i betragtning af størrelsen og den spredte natur af Android-økosystemet er det en ret effektiv.
Det gør det ikke OK, at mange producenter stadig tager alt for lang tid at skubbe vigtige sikkerhedsopdateringer ud til enheder, især mindre kendte, da spørgsmål som dette har tendens til at fremhæve. Men det er en masse bedre end ingenting.
Det er vigtigt at være opmærksom på sikkerhedsproblemer, især hvis du er en teknisk kyndig Android-bruger - den slags person, som almindelige mennesker henvender sig til for at få hjælp, når noget går galt med deres telefon. Men det er også en god ide at holde tingene i perspektiv og huske, at det ikke kun er sårbarheden, der er vigtig, men også den mulige angrebsvektor. I tilfælde af det Google-kontrollerede økosystem er Play Store og Play Services to kraftfulde værktøjer, som Google kan håndtere malware med.
Så vær sikker og bliv smart. Vi holder dig opdateret med yderligere oplysninger om Fake ID fra de store Android-OEM'er.
Opdatering: En talsmand fra Google har givet Android Central med følgende erklæring:
"Vi sætter pris på at Bluebox ansvarligt rapporterer denne sårbarhed til os; tredjepartsforskning er en af måderne, hvorpå Android gøres stærkere for brugerne. Efter at have modtaget besked om denne sårbarhed udstedte vi hurtigt en patch, der blev distribueret til Android-partnere såvel som til AOSP. Google Play og Verify Apps er også blevet forbedret for at beskytte brugere mod dette problem. På dette tidspunkt har vi scannet alle ansøgninger, der er indsendt til Google Play, såvel som dem, som Google har gennemgået uden for Google Play, og vi har ikke set noget bevis for forsøg på at udnytte dette sårbarhed. "
Sony har også fortalt os, at det arbejder på at skubbe den falske ID-rettelse ud til sine enheder.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Dette er de bedste bands til Fitbit Sense og Versa 3.
Sammen med frigivelsen af Fitbit Sense og Versa 3 introducerede virksomheden også nye uendelige bands. Vi har valgt de bedste for at gøre det lettere for dig.