Σήμερα η εταιρεία ερευνών ασφαλείας BlueBox - η ίδια εταιρεία που αποκάλυψε το λεγόμενο Ευπάθεια Android "Master Key" - ανακοίνωσε την ανακάλυψη ενός σφάλματος στον τρόπο με τον οποίο το Android χειρίζεται τα πιστοποιητικά ταυτότητας που χρησιμοποιούνται για την υπογραφή εφαρμογών. Η ευπάθεια, στην οποία το BlueBox ονομάστηκε "Fake ID", επιτρέπει σε κακόβουλες εφαρμογές να συσχετίζονται με πιστοποιητικά από νόμιμες εφαρμογές, αποκτώντας έτσι πρόσβαση σε πράγματα που δεν πρέπει να έχουν πρόσβαση.
Τα τρωτά σημεία της ασφάλειας, όπως αυτό το τρομακτικό ήχο, και έχουμε ήδη δει έναν ή δύο υπερβολικούς τίτλους σήμερα, καθώς αυτή η ιστορία έχει σπάσει. Ωστόσο, οποιοδήποτε σφάλμα που επιτρέπει στις εφαρμογές να κάνουν πράγματα που δεν πρέπει να είναι σοβαρό πρόβλημα. Ας συνοψίσουμε λοιπόν τι συμβαίνει με λίγα λόγια, τι σημαίνει για την ασφάλεια του Android και αν αξίζει να ανησυχείτε ...
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες απεριόριστες γραμμές
Εκσυγχρονίζω: Ενημερώσαμε αυτό το άρθρο για να επιβεβαιώσουμε την επιβεβαίωση από την Google ότι τόσο η λειτουργία Play Store όσο και η "επαλήθευση εφαρμογών" έχουν πράγματι ενημερωθεί για την αντιμετώπιση του σφάλματος Fake ID. Αυτό σημαίνει ότι η συντριπτική πλειονότητα των ενεργών συσκευών Google Android έχει ήδη κάποια προστασία από αυτό το ζήτημα, όπως συζητήθηκε αργότερα στο άρθρο. Πλήρης δήλωση της Google μπορείτε να βρείτε στο τέλος αυτής της ανάρτησης.
Το πρόβλημα - Πιστοποιητικά Dodgy
Το "Fake ID" προέρχεται από ένα σφάλμα στο πρόγραμμα εγκατάστασης πακέτων Android.
Σύμφωνα με το BlueBox, η ευπάθεια οφείλεται σε ένα ζήτημα στο πρόγραμμα εγκατάστασης πακέτων Android, το τμήμα του λειτουργικού συστήματος που χειρίζεται την εγκατάσταση εφαρμογών. Το πρόγραμμα εγκατάστασης πακέτων προφανώς δεν επαληθεύει σωστά την αυθεντικότητα των "αλυσίδων" ψηφιακών πιστοποιητικών, επιτρέποντας σε ένα κακόβουλο πιστοποιητικό να ισχυριστεί ότι έχει εκδοθεί από ένα αξιόπιστο μέρος. Αυτό είναι ένα πρόβλημα επειδή ορισμένες ψηφιακές υπογραφές παρέχουν στις εφαρμογές προνομιακή πρόσβαση σε ορισμένες λειτουργίες της συσκευής. Με το Android 2.2-4.3, για παράδειγμα, σε εφαρμογές που φέρουν την υπογραφή της Adobe παρέχεται ειδική πρόσβαση σε περιεχόμενο προβολής ιστού - μια απαίτηση για υποστήριξη του Adobe Flash που, εάν η κακή χρήση μπορεί να προκαλέσει προβλήματα. Ομοίως, η πλαστογράφηση της υπογραφής μιας εφαρμογής που έχει προνομιακή πρόσβαση στο υλικό που χρησιμοποιείται για ασφαλείς πληρωμές μέσω NFC ενδέχεται να επιτρέψει σε μια κακόβουλη εφαρμογή να παρακολουθεί ευαίσθητες οικονομικές πληροφορίες.
Πιο ανησυχητικά, ένα κακόβουλο πιστοποιητικό θα μπορούσε επίσης να χρησιμοποιηθεί για την πλαστοπροσωπία ορισμένων απομακρυσμένων συσκευών λογισμικό διαχείρισης, όπως το 3LM, το οποίο χρησιμοποιείται από ορισμένους κατασκευαστές και παρέχει εκτεταμένο έλεγχο σε ένα συσκευή.
Όπως γράφει ο ερευνητής του BlueBox, Jeff Foristall:
"Οι υπογραφές εφαρμογών παίζουν σημαντικό ρόλο στο μοντέλο ασφαλείας του Android. Η υπογραφή μιας εφαρμογής καθορίζει ποιος μπορεί να ενημερώσει την εφαρμογή, ποιες εφαρμογές μπορούν να κοινοποιήσουν τα [sic] δεδομένα κ.λπ. Ορισμένα δικαιώματα, που χρησιμοποιούνται για την πύλη πρόσβασης σε λειτουργικότητα, μπορούν να χρησιμοποιηθούν μόνο από εφαρμογές που έχουν την ίδια υπογραφή με τον δημιουργό δικαιωμάτων. Το πιο ενδιαφέρον είναι ότι σε συγκεκριμένες υπογραφές δίδονται ειδικά προνόμια σε ορισμένες περιπτώσεις. "
Ενώ το πρόβλημα Adobe / webview δεν επηρεάζει το Android 4.4 (επειδή η προβολή ιστού βασίζεται τώρα στο Chromium, το οποίο δεν έχει τα ίδια άγκιστρα Adobe), το σφάλμα του υποκείμενου προγράμματος εγκατάστασης πακέτων προφανώς συνεχίζει να επηρεάζει ορισμένα εκδόσεις του Kit Kat. Σε δήλωση που δόθηκε στο Android Central Η Google είπε, "Αφού λάβαμε γνώση αυτής της ευπάθειας, εκδώσαμε γρήγορα μια ενημερωμένη έκδοση κώδικα που διανεμήθηκε σε συνεργάτες Android, καθώς και στο Android Open Source Project."
Η Google λέει ότι δεν υπάρχουν στοιχεία ότι το "Fake ID" εκμεταλλεύεται στην άγρια φύση.
Δεδομένου ότι το BlueBox αναφέρει ότι ενημέρωσε την Google τον Απρίλιο, είναι πιθανό να έχει συμπεριληφθεί οποιαδήποτε επιδιόρθωση στο Android 4.4.3 και πιθανώς κάποιες ενημερώσεις ασφαλείας που βασίζονται σε 4.4.2 από OEM. (Βλέπω αυτός ο κώδικας δεσμεύει - ευχαριστώ Anant Shrivastava.) Οι αρχικές δοκιμές με την εφαρμογή της BlueBox δείχνουν ότι τα ευρωπαϊκά LG G3, Samsung Galaxy S5 και HTC One M8 δεν επηρεάζονται από το Fake ID. Έχουμε φτάσει στους κύριους OEM Android για να μάθουμε ποιες άλλες συσκευές έχουν ενημερωθεί.
Όσον αφορά τις λεπτομέρειες του Fake ID vuln, ο Forristal λέει ότι θα αποκαλύψει περισσότερα για το Black Hat Conference στο Λας Βέγκας τον Αύγουστο. 2. Στη δήλωσή της, η Google δήλωσε ότι είχε σαρώσει όλες τις εφαρμογές στο Play Store και ορισμένες φιλοξενήθηκαν σε άλλα καταστήματα εφαρμογών και δεν βρήκαν στοιχεία που να αποδεικνύουν ότι η εκμετάλλευση χρησιμοποιείται στον πραγματικό κόσμο.
Η λύση - Διόρθωση σφαλμάτων Android με το Google Play
Μέσω των Υπηρεσιών Play, η Google μπορεί αποτελεσματικά να στειρώσει αυτό το σφάλμα στο μεγαλύτερο μέρος του ενεργού οικοσυστήματος Android.
Το Fake ID είναι μια σοβαρή ευπάθεια ασφαλείας που εάν στοχευτεί σωστά θα μπορούσε να επιτρέψει σε έναν εισβολέα να κάνει σοβαρή ζημιά. Και καθώς το υποκείμενο σφάλμα αντιμετωπίστηκε πρόσφατα στο AOSP, μπορεί να φαίνεται ότι η μεγάλη πλειοψηφία των τηλεφώνων Android είναι ανοιχτά για επίθεση και θα παραμείνει έτσι για το άμεσο μέλλον. Όπως έχουμε συζητήσει προηγουμένως, Το έργο της ενημέρωσης των δισεκατομμυρίων ενεργών τηλεφώνων Android είναι τεράστια πρόκληση και ο «κατακερματισμός» είναι ένα πρόβλημα που είναι ενσωματωμένο στο DNA του Android. Ωστόσο, η Google διαθέτει κάρτα ατού για να αντιμετωπίσει ζητήματα ασφαλείας όπως αυτό - Υπηρεσίες Google Play.
Όπως οι Υπηρεσίες Play προσθέτει νέες δυνατότητες και API χωρίς να απαιτείται ενημέρωση υλικολογισμικού, μπορεί επίσης να χρησιμοποιηθεί για να συνδέσετε τρύπες ασφαλείας. Πριν από λίγο καιρό η Google πρόσθεσε τη λειτουργία "επαλήθευση εφαρμογών" στις Υπηρεσίες Google Play ως τρόπος σάρωσης οποιωνδήποτε εφαρμογών για κακόβουλο περιεχόμενο πριν εγκατασταθούν. Επιπλέον, είναι ενεργοποιημένο από προεπιλογή. Στο Android 4.2 και νεότερες εκδόσεις ζει κάτω από τις Ρυθμίσεις> Ασφάλεια. σε παλαιότερες εκδόσεις θα το βρείτε στις Ρυθμίσεις Google> Επαλήθευση εφαρμογών. Όπως είπε ο Sundar Pichai Google I / O 2014, Το 93% των ενεργών χρηστών χρησιμοποιούν την τελευταία έκδοση των υπηρεσιών Google Play. Ακόμη και το αρχαίο LG Optimus Vu, με Android 4.0.4 Παγωτο ΣΑΝΤΟΥΪΤΣ, έχει την επιλογή "επαλήθευση εφαρμογών" από τις Υπηρεσίες Play για να αποφύγει το κακόβουλο λογισμικό.
Η Google επιβεβαίωσε Android Central ότι η λειτουργία "επαλήθευση εφαρμογών" και το Google Play έχουν ενημερωθεί για την προστασία των χρηστών από αυτό το ζήτημα. Πράγματι, σφάλματα ασφαλείας σε επίπεδο εφαρμογής όπως αυτό είναι ακριβώς αυτό που έχει σχεδιαστεί για να αντιμετωπίσει η λειτουργία "επαλήθευση εφαρμογών". Αυτό περιορίζει σημαντικά τον αντίκτυπο του Fake ID σε οποιαδήποτε συσκευή εκτελεί μια ενημερωμένη έκδοση των Υπηρεσιών Google Play - πολύ μακριά όλα Οι συσκευές Android είναι ευάλωτες, η δράση της Google να αντιμετωπίσει το Fake ID μέσω των Υπηρεσιών Play το άφησε αποτελεσματικά πριν ακόμη γίνει γνωστό το ζήτημα.
Θα μάθουμε περισσότερα όταν οι πληροφορίες σχετικά με το σφάλμα καθίστανται διαθέσιμες στο Black Hat. Ωστόσο, επειδή ο επαληθευτής εφαρμογών της Google και το Play Store μπορούν να εντοπίσουν εφαρμογές χρησιμοποιώντας το Fake ID, ο ισχυρισμός του BlueBox ότι "όλοι οι χρήστες Android από τον Ιανουάριο του 2010" κινδυνεύουν φαίνεται υπερβολικός. (Αν και ομολογουμένως, οι χρήστες που χρησιμοποιούν μια συσκευή με έκδοση Android που δεν έχει εγκριθεί από την Google παραμένουν σε μια πιο δύσκολη κατάσταση.)
Ανεξάρτητα από αυτό, το γεγονός ότι η Google γνωρίζει το Fake ID από τον Απρίλιο καθιστά πολύ απίθανο οποιαδήποτε εφαρμογή που χρησιμοποιεί το exploit να το κάνει στο Play Store στο μέλλον. Όπως και τα περισσότερα ζητήματα ασφαλείας του Android, ο ευκολότερος και πιο αποτελεσματικός τρόπος αντιμετώπισης του Fake ID είναι να είστε έξυπνοι από πού προέρχονται οι εφαρμογές σας.
Σίγουρα, η διακοπή μιας ευπάθειας από την εκμετάλλευση δεν είναι η ίδια με την πλήρη εξάλειψή της. Σε έναν ιδανικό κόσμο, η Google θα ήταν σε θέση να προωθήσει μια ενημέρωση over-the-air σε κάθε συσκευή Android και να εξαλείψει το ζήτημα για πάντα, όπως και η Apple. Το να αφήνουμε τις Υπηρεσίες Play και το Play Store να λειτουργούν ως φύλακες είναι μια λύση διακοπής, αλλά δεδομένου του μεγέθους και της εκτεταμένης φύσης του οικοσυστήματος Android, είναι αρκετά αποτελεσματική.
Δεν είναι εντάξει ότι πολλοί κατασκευαστές εξακολουθούν να χρειάζονται πολύ χρόνο για να προωθήσουν σημαντικές ενημερώσεις ασφαλείας για συσκευές, ιδιαίτερα λιγότερο γνωστές, καθώς θέματα όπως αυτό τείνουν να επισημαίνονται. Αλλά είναι παρτίδα καλύτερα απο το τίποτα.
Είναι σημαντικό να γνωρίζετε τα ζητήματα ασφαλείας, ειδικά αν είστε χρήστης Android με γνώσεις τεχνολογίας - το είδος του ατόμου στο οποίο απευθύνονται τακτικά άτομα για βοήθεια όταν κάτι πάει στραβά με το τηλέφωνό τους. Αλλά είναι επίσης καλή ιδέα να διατηρείτε τα πράγματα σε προοπτική και να θυμάστε ότι δεν είναι μόνο η ευπάθεια που είναι σημαντική, αλλά και ο πιθανός φορέας επίθεσης. Στην περίπτωση του οικοσυστήματος που ελέγχεται από την Google, το Play Store και οι Υπηρεσίες Play είναι δύο ισχυρά εργαλεία με τα οποία η Google μπορεί να χειριστεί κακόβουλα προγράμματα.
Γι 'αυτό μείνετε ασφαλείς και μείνετε έξυπνοι. Θα σας ενημερώνουμε για τυχόν περαιτέρω πληροφορίες σχετικά με το Fake ID από τους κύριους OEM Android.
Εκσυγχρονίζω: Ένας εκπρόσωπος της Google έχει παράσχει Android Central με την ακόλουθη δήλωση:
"Εκτιμούμε το Bluebox να μας αναφέρει υπεύθυνα αυτήν την ευπάθεια. Η έρευνα τρίτων είναι ένας από τους τρόπους με τους οποίους το Android γίνεται ισχυρότερο για τους χρήστες. Μετά τη λήψη αυτής της ευπάθειας, εκδώσαμε γρήγορα μια ενημερωμένη έκδοση κώδικα που διανεμήθηκε σε συνεργάτες Android, καθώς και στην AOSP. Το Google Play και η Επαλήθευση εφαρμογών έχουν επίσης βελτιωθεί για την προστασία των χρηστών από αυτό το ζήτημα. Προς το παρόν, έχουμε σαρώσει όλες τις αιτήσεις που υποβάλλονται στο Google Play, καθώς και αυτές που έχει υποβάλει η Google ελέγχθηκαν εκτός του Google Play και δεν έχουμε δει καμία απόδειξη απόπειρας εκμετάλλευσης αυτού τρωτό."
Η Sony μας είπε επίσης ότι εργάζεται για να προωθήσει το Fake ID fix στις συσκευές της.
Έχετε ακούσει το Android Central Podcast αυτής της εβδομάδας;
Κάθε εβδομάδα, το Android Central Podcast σας προσφέρει τις τελευταίες τεχνολογικές ειδήσεις, αναλύσεις και καυτές λήψεις, με γνωστούς συν-οικοδεσπότες και ειδικούς καλεσμένους.
- Εγγραφείτε στο Pocket Casts: Ήχος
- Εγγραφείτε στο Spotify: Ήχος
- Εγγραφείτε στο iTunes: Ήχος
Ενδέχεται να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!
Τα καλύτερα ασύρματα ακουστικά είναι άνετα, υπέροχα, δεν κοστίζουν πάρα πολύ και χωράνε εύκολα στην τσέπη.
Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα.
Η Sony επιβεβαίωσε επίσημα ότι εργάζεται στο PlayStation 5. Εδώ είναι ό, τι γνωρίζουμε μέχρι τώρα.
Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $.
Το Nokia 2.4 και το Nokia 3.4 είναι οι τελευταίες προσθήκες στην οικονομική σειρά smartphone της HMD Global. Δεδομένου ότι είναι και οι δύο συσκευές Android One, είναι εγγυημένο ότι θα λαμβάνουν δύο σημαντικές ενημερώσεις λειτουργικού συστήματος και τακτικές ενημερώσεις ασφαλείας για έως και τρία χρόνια.
Αυτές είναι οι καλύτερες μπάντες για τα Fitbit Sense και Versa 3.
Μαζί με την κυκλοφορία των Fitbit Sense και Versa 3, η εταιρεία εισήγαγε επίσης νέα άπειρα συγκροτήματα. Διαλέξαμε τα καλύτερα για να κάνουμε τα πράγματα πιο εύκολα για εσάς.