Nykyään tietoturvatutkimusyritys BlueBox - sama yritys, joka paljasti ns Androidin "pääavaimen" haavoittuvuus - on ilmoittanut löytäneensä virheen tavassa, jolla Android käsittelee sovellusten allekirjoittamiseen käytettyjä henkilöllisyystodistuksia. Haavoittuvuus, jonka BlueBox on kutsunut nimellä "Fake ID", antaa haittaohjelmille mahdollisuuden yhdistää itsensä laillisten sovellusten varmenteisiin, jolloin he pääsevät tavaroihin, joihin heidän ei pitäisi olla pääsyä.
Tämän tyyppiset tietoturva-aukkot kuulostavat pelottavilta, ja olemme jo nähneet yhden tai kaksi hyperbolista otsikkoa tänään, koska tämä tarina on hajonnut. Jokainen vika, joka antaa sovellusten tehdä asioita, joiden ei pitäisi olla, on vakava ongelma. Joten tehdään yhteenveto siitä, mitä tapahtuu pähkinänkuoressa, mitä se tarkoittaa Android-turvallisuudelle ja onko syytä huolestua ...
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Päivittää: Olemme päivittäneet tämän artikkelin vastaamaan Googlen vahvistusta siitä, että sekä Play Kauppa- että "Sovellusten vahvistus" -ominaisuus on todellakin päivitetty Fake ID -virheen korjaamiseksi. Tämä tarkoittaa, että suurimmalla osalla aktiivisista Google Android -laitteista on jo jonkin verran suojaa tätä ongelmaa vastaan, kuten myöhemmin artikkelissa käsitellään. Googlen lausunto kokonaisuudessaan löytyy tämän viestin lopusta.
Ongelma - Dodgy-sertifikaatit
'Fake ID' johtuu Android-paketin asennusohjelman virheestä.
BlueBoxin mukaan haavoittuvuus johtuu Android-paketin asennusohjelman ongelmasta, joka on käyttöjärjestelmän osa, joka hoitaa sovellusten asennuksen. Paketin asennusohjelma ei ilmeisesti tarkista digitaalisten varmenteiden "ketjujen" aitoutta, mikä sallii haitallisen varmenteen väittää, että luotettu osapuoli on myöntänyt sen. Se on ongelma, koska tietyt digitaaliset allekirjoitukset tarjoavat sovelluksille etuoikeutetun pääsyn joihinkin laitetoimintoihin. Esimerkiksi Android 2.2-4.3: n kanssa sovelluksille, joilla on Adoben allekirjoitus, myönnetään erityinen pääsy verkkonäkymäsisältöön - Adobe Flash -tukivaatimus, joka väärinkäytöksistä voi aiheuttaa ongelmia. Vastaavasti sovelluksen allekirjoituksen väärentäminen, jolla on etuoikeus pääsy laitteisiin, joita käytetään suojattuihin maksuihin NFC: n kautta, saattaa antaa haitallisen sovelluksen siepata arkaluonteisia taloudellisia tietoja.
Huolestuttavampaa on, että haitallista varmentetta voidaan käyttää myös esiintymään tiettyinä etälaitteina hallintaohjelmisto, kuten 3LM, jota jotkut valmistajat käyttävät ja joka antaa laajan hallinnan a laite.
Kuten BlueBox-tutkija Jeff Foristall kirjoittaa:
"Sovellusten allekirjoituksilla on tärkeä rooli Android-suojausmallissa. Sovelluksen allekirjoitus määrittää kuka voi päivittää sovelluksen, mitkä sovellukset voivat jakaa sen [sic] tietoja jne. Tiettyjä käyttöoikeuksien porttikäyttöön tarkoitettuja käyttöoikeuksia voivat käyttää vain sovellukset, joilla on sama allekirjoitus kuin käyttöoikeuksien luojalla. Mielenkiintoisempaa on, että hyvin erityisille allekirjoituksille annetaan erityisiä etuoikeuksia tietyissä tapauksissa. "
Vaikka Adobe / webview-ongelma ei vaikuta Android 4.4: een (koska verkkonäkymä perustuu nyt Chromiumiin, mikä ei ole samoja Adobe-koukkuja), taustalla oleva paketinasennusvirhe vaikuttaa ilmeisesti edelleen joihinkin versiot Kitkat. Annetulle lausunnolle Android Central Google sanoi: "Saatuaan tiedon tästä haavoittuvuudesta julkaisimme nopeasti korjaustiedoston, joka jaettiin Android-kumppaneille sekä Android Open Source -projektille."
Google sanoo, ettei ole todisteita siitä, että väärennettyä henkilöllisyystodistusta hyödynnetään luonnossa.
Ottaen huomioon, että BlueBox sanoo ilmoittaneensa Googlelle huhtikuussa, todennäköisesti kaikki korjaukset on sisällytetty Android 4.4.3: een ja mahdollisesti joihinkin 4.4.2-pohjaisiin suojauskorjauksiin alkuperäisiltä valmistajilta. (Katso tämä koodi sitoutuu - Kiitos Anant Shrivastava.) Alustestaus BlueBoxin omalla sovelluksella osoittaa, että Fake ID ei vaikuta eurooppalaiseen LG G3: een, Samsung Galaxy S5: een ja HTC One M8: een. Olemme ottaneet yhteyttä suurimpiin Android-OEM-valmistajiin saadaksesi selville, mitkä muut laitteet on päivitetty.
For Fake ID vuln, Forristal kertoo paljastavansa lisää Black Hat -konferenssissa Las Vegasissa elokuussa. 2. Lausunnossaan Google sanoi, että se oli skannannut kaikki Play Kaupassa olevat sovellukset ja jotkut isännöineet muissa sovelluskaupoissa, eikä löytänyt todisteita siitä, että hyödyntämistä käytettiin todellisessa maailmassa.
Ratkaisu - Android-virheiden korjaaminen Google Playssa
Play-palveluiden avulla Google voi kastella tämän virheen tehokkaasti useimmissa aktiivisissa Android-ekosysteemeissä.
Fake ID on vakava tietoturva-aukko, joka oikein kohdennettuna voi antaa hyökkääjän tehdä vakavia vahinkoja. Ja koska taustalla olevaa virhettä on käsitelty vasta äskettäin AOSP: ssä, saattaa tuntua siltä, että suurin osa Android-puhelimista on hyökkäysvalmiita ja pysyy niin lähitulevaisuudessa. Kuten olemme keskustelleet aiemmin, miljardin aktiivisen Android-puhelimen päivittäminen on valtava haaste, ja "pirstaloituminen" on ongelma, joka on sisällytetty Androidin DNA: han. Mutta Googlella on valttikortti, kun käsitellään tällaisia turvallisuuskysymyksiä - Google Play -palvelut.
Aivan kuten Play-palvelut lisää uusia ominaisuuksia ja sovellusliittymiä ilman laiteohjelmistopäivitystä, sitä voidaan käyttää myös turva-aukkojen sulkemiseen. Jokin aika sitten Google lisäsi "sovellusten vahvistus" -ominaisuuden Google Play -palveluihin keinona tarkistaa kaikki sovellukset haitallisen sisällön varalta ennen niiden asentamista. Lisäksi se on oletusarvoisesti käytössä. Android 4.2: ssa ja sitä uudemmissa versioissa se on Asetukset> Suojaus; vanhemmissa versioissa löydät sen kohdasta Google-asetukset> Vahvista sovellukset. Kuten Sundar Pichai sanoi Google I / O 2014, 93 prosenttia aktiivisista käyttäjistä käyttää uusinta Google Play -palvelujen versiota. Jopa muinainen LG Optimus Vu, jossa on Android 4.0.4 Jäätelö voileipä, on Play Services -palvelun "Vahvista sovellukset" -vaihtoehto suojautua haittaohjelmilta.
Google on vahvistanut Android Central että "Vahvista sovellukset" -ominaisuus ja Google Play on päivitetty käyttäjien suojaamiseksi tältä ongelmalta. Tällaiset sovellustason tietoturvavirheet ovat juuri niitä, joita "sovellusten vahvistus" -ominaisuus on suunniteltu käsittelemään. Tämä rajoittaa väärennetyn tunnuksen vaikutusta merkittävästi kaikkiin laitteisiin, joissa on päivitetty Google Play -palvelujen versio - kaukana kaikki Android-laitteet ovat haavoittuvia, ja Googlen toiminta väärennetyn henkilöllisyystodistuksen torjumiseksi Play Services -palvelun avulla kastroi sen tehokkaasti, ennen kuin asiasta tuli edes julkista tietoa.
Saamme lisätietoja, kun virheen tiedot ovat saatavilla Black Hatissa. Mutta koska Googlen sovellustarkistaja ja Play Kauppa voivat saada sovelluksia väärennetyllä tunnuksella, BlueBoxin väite, jonka mukaan "kaikki Android-käyttäjät tammikuusta 2010 lähtien" ovat vaarassa, näyttää liioitellulta. (Tosin käyttäjät, jotka käyttävät laitetta, jolla on muu kuin Googlen hyväksymä Android-versio, jäävät tahmeammaksi.)
Riippumatta siitä, että Google on ollut tietoinen Fake ID: stä huhtikuusta lähtien, on erittäin epätodennäköistä, että kaikki hyödyntämistä käyttävät sovellukset pääsisivät Play Storeen tulevaisuudessa. Kuten useimmat Android-tietoturvakysymykset, helpoin ja tehokkain tapa käsitellä Fake ID on olla fiksu siitä, mistä saat sovelluksesi.
Varmasti haavoittuvuuden käytön lopettaminen ei ole sama kuin sen poistaminen kokonaan. Ihanteellisessa maailmassa Google pystyy ajamaan päivityksen jokaiselle Android-laitteelle ja poistamaan ongelman ikuisesti, aivan kuten Apple tekee. Antaa Play-palveluiden ja Play-kaupan toimia portinvartijoina on pysäytysratkaisu, mutta kun otetaan huomioon Android-ekosysteemin koko ja rönsyilevä luonne, se on melko tehokas ratkaisu.
Se ei tee OK: sta, että monilla valmistajilla on vielä liian kauan aikaa viedä tärkeitä tietoturvapäivityksiä laitteisiin, etenkin vähemmän tunnettuja, kuten tämänkaltaiset ongelmat korostavat. Mutta se on paljon parempi kuin ei mitään.
On tärkeää olla tietoinen turvallisuuskysymyksistä, varsinkin jos olet teknisesti taitava Android-käyttäjä - sellainen henkilö, johon tavalliset ihmiset kääntyvät avun saamiseksi, kun puhelimessa menee pieleen. Mutta on myös hyvä pitää asiat perspektiivissä ja muistaa, että tärkeä ei ole vain haavoittuvuus, vaan myös mahdollinen hyökkäysvektori. Google-ohjatun ekosysteemin tapauksessa Play-kauppa ja Play-palvelut ovat kaksi tehokasta työkalua, joilla Google voi käsitellä haittaohjelmia.
Joten pysy turvassa ja pysy fiksuna. Pidämme sinut ajan tasalla mahdollisista lisätiedoista väärennetyistä tunnuksista suurimmilta Android-OEM-valmistajilta.
Päivittää: Googlen edustaja on toimittanut Android Central seuraavan lausunnon kanssa:
"Arvostamme, että Bluebox ilmoitti vastuullisesti meille vastuullisesti. kolmannen osapuolen tutkimus on yksi tapa, jolla Androidia vahvistetaan käyttäjille. Saatuamme tiedon tästä haavoittuvuudesta, julkaisimme nopeasti korjaustiedoston, joka jaettiin Android-kumppaneille sekä AOSP: lle. Google Play- ja Verify Apps -sovelluksia on myös parannettu käyttäjien suojaamiseksi tältä ongelmalta. Tällä hetkellä olemme skannanneet kaikki Google Playhin lähetetyt hakemukset samoin kuin Google tarkistettu Google Playn ulkopuolelta, emmekä ole havainneet todisteita tämän hyväksikäyttöyrityksestä haavoittuvuus. "
Sony on myös kertonut meille, että se pyrkii työntämään Fake ID -korjauksen laitteisiinsa.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelimiin. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännöllisiä tietoturvapäivityksiä jopa kolmen vuoden ajan.
Nämä ovat parhaat Fitbit Sense- ja Versa 3 -bändit.
Fitbit Sense ja Versa 3: n julkaisemisen ohella yhtiö esitteli myös uusia ääretön yhtyeitä. Olemme valinneet parhaat, jotka helpottavat asioita.