Danas je tvrtka za istraživanje sigurnosti BlueBox - ista ona tvrtka koja je otkrila tzv Ranjivost "glavnog ključa" Androida - najavio je otkriće greške u načinu na koji Android obrađuje certifikate identiteta koji se koriste za potpisivanje aplikacija. Ranjivost, koju je BlueBox nazvao "Lažni ID", omogućava zlonamjernim aplikacijama da se povežu sa certifikatima iz legitimnih aplikacija, čime dobivaju pristup stvarima kojima ne bi smjeli imati pristup.
Ovakve sigurnosne ranjivosti zvuče zastrašujuće, a već smo danas vidjeli jedan ili dva hiperbolična naslova jer je ova priča pukla. Ipak, svaka programska pogreška koja dopušta aplikacijama da rade stvari koje ne bi trebale predstavljati je ozbiljan problem. Pa sumirajmo što se ukratko događa, što to znači za Android sigurnost i vrijedi li se brinuti ...
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Ažuriraj: Ažurirali smo ovaj članak kako bismo odražavali Googleovu potvrdu da su i Trgovina Play i značajka "provjeravanje aplikacija" doista ažurirani kako bi riješili pogrešku u vezi s lažnim ID-om. To znači da velika većina aktivnih Google Android uređaja već ima određenu zaštitu od ovog problema, kao što je objašnjeno kasnije u članku. Googleova izjava u cijelosti nalazi se na kraju ovog posta.
Problem - Dodgy certifikati
'Lažni ID' proizlazi iz pogreške u instalacijskom programu Android paketa.
Prema BlueBoxu, ranjivost proizlazi iz problema u instalacijskom programu Android paketa, dijelu OS-a koji se bavi instalacijom aplikacija. Instalacijski paket paketa očito ne provjerava ispravno autentičnost "lanaca digitalnih certifikata", dopuštajući zlonamjernom certifikatu da tvrdi da ga je izdala pouzdana strana. To je problem jer određeni digitalni potpisi pružaju aplikacijama privilegirani pristup nekim funkcijama uređaja. Na primjer, s Androidom 2.2-4.3, aplikacije koje imaju Adobeov potpis imaju poseban pristup sadržaju webview-a - uvjet za podršku Adobe Flash-a koji bi u slučaju zlouporabe mogao stvoriti probleme. Slično tome, lažiranje potpisa aplikacije koja ima privilegirani pristup hardveru koji se koristi za sigurna plaćanja putem NFC-a moglo bi dopustiti zlonamjernoj aplikaciji da presretne osjetljive financijske podatke.
Još je zabrinjavajuće što bi se zlonamjerni certifikat mogao koristiti i za lažno predstavljanje određenog udaljenog uređaja softver za upravljanje, poput 3LM, koji koriste neki proizvođači i omogućuje opsežnu kontrolu nad a uređaj.
Kako piše istraživač BlueBoxa Jeff Foristall:
"Potpisi aplikacija igraju važnu ulogu u Androidovom sigurnosnom modelu. Potpis aplikacije utvrđuje tko može ažurirati aplikaciju, koje aplikacije mogu dijeliti njezine [sic] podatke itd. Određena dopuštenja, koja se koriste za pristup pristupima funkcijama, mogu se koristiti samo u aplikacijama koje imaju isti potpis kao i autor odobrenja. Još je zanimljivije da se vrlo određenim potpisima u određenim slučajevima daju posebne povlastice. "
Iako problem s Adobeom / webviewom ne utječe na Android 4.4 (jer se webview sada temelji na Chromiumu, koji nema iste Adobeove kuke), osnovna greška instalacijskog paketa očito i dalje utječe na neke verzije Kit Kat. U izjavi datoj Android Central Google je rekao, "Nakon što smo dobili vijest o ovoj ranjivosti, brzo smo izdali zakrpu koja je distribuirana Android partnerima, kao i Android Open Source projektu."
Google kaže da nema dokaza da se 'lažni ID' iskorištava u divljini.
S obzirom na to da BlueBox kaže da je obavijestio Google u travnju, vjerojatno će bilo koji ispravak biti uključen u Android 4.4.3, a možda i neke sigurnosne zakrpe temeljene na 4.4.2 od proizvođača originalne opreme. (Vidjeti ovaj kod se obveže - Hvala Anant Shrivastava.) Prvo testiranje s BlueBoxovom vlastitom aplikacijom pokazuje da lažni ID ne utječe na europski LG G3, Samsung Galaxy S5 i HTC One M8. Kontaktirali smo glavne proizvođače Androida kako bismo saznali koji su drugi uređaji ažurirani.
Što se tiče specifičnosti Fake ID vulna, Forristal kaže da će otkriti više o tome na konferenciji Black Hat u Las Vegasu, kolovoza 2. U svojoj izjavi Google je rekao da je skenirao sve aplikacije u svojoj Trgovini Play, a neke i hostirane u drugim trgovinama aplikacija, te nije pronašao dokaze da se exploit koristi u stvarnom svijetu.
Rješenje - Ispravljanje Android bugova pomoću Google Playa
Kroz usluge Play, Google može učinkovito kastrirati ovu programsku pogrešku u većini aktivnih Android ekosustava.
Lažni ID ozbiljna je sigurnosna ranjivost koja napadaču može omogućiti ozbiljnu štetu ako ga pravilno ciljate. A budući da je temeljna greška tek nedavno riješena u AOSP-u, moglo bi se činiti da je velika većina Android telefona otvorena za napad i tako će ostati u doglednoj budućnosti. Kao što smo već razgovarali, zadatak ažuriranja milijardu ili tako aktivnih Android telefona ogroman je izazov, a "fragmentacija" je problem koji je ugrađen u Androidovu DNA. No, Google ima svog aduta kada se bavi sigurnosnim problemima poput ovog - Google Play Services.
Baš kao i usluge Play dodaje nove značajke i API-je bez potrebe za ažuriranjem firmvera, također se može koristiti za zatvaranje sigurnosnih rupa. Prije nekog vremena Google je na usluge Google Play dodao značajku "provjeri aplikacije" kao način skeniranja bilo koje aplikacije na zlonamjerni sadržaj prije nego što se instaliraju. Štoviše, uključeno je prema zadanim postavkama. U Androidu 4.2 i novijim verzijama živi pod Postavke> Sigurnost; na starijim inačicama pronaći ćete je u Google postavkama> Potvrda aplikacija. Kao što je rekao Sundar Pichai Google I / O 2014, 93 posto aktivnih korisnika koristi najnoviju verziju usluga Google Play. Čak i naš drevni LG Optimus Vu, s Androidom 4.0.4 Sendvič od sladoleda, ima opciju "provjeri aplikacije" na uslugama Play da bi se zaštitio od zlonamjernog softvera.
Google je potvrdio da Android Central da su značajka "provjere aplikacija" i Google Play ažurirani kako bi zaštitili korisnike od ovog problema. Doista, ovakve programske pogreške na razini aplikacije upravo su ono za što je dizajnirana značajka "provjere aplikacija". To značajno ograničava utjecaj lažnog ID-a na bilo koji uređaj koji pokreće ažuriranu verziju usluga Google Play - daleko od toga svi Android uređaji su ranjivi, a Googleova akcija rješavanja lažnog ID-a putem Play usluga učinkovito ga je sterilizirala prije nego što je problem uopće postao javno poznat.
Više ćemo saznati kad informacije o programskoj pogrešci postanu dostupne na Black Hat-u. No budući da Googleov verifikator aplikacija i Play Store mogu hvatati aplikacije pomoću lažnog ID-a, čini se da je pretjerana tvrdnja BlueBoxa da su "svi korisnici Androida od siječnja 2010". (Iako doduše, korisnici koji rade na uređaju s inačicom Androida koju nije odobrio Google ostaju u sticking situaciji.)
Bez obzira na to, činjenica da je Google svjestan Fake ID-a od travnja, čini malo vjerojatnim da će bilo koja aplikacija koja koristi exploit u budućnosti ući u Play Store. Poput većine sigurnosnih problema s Androidom, najlakši i najučinkovitiji način rješavanja lažnog ID-a je biti pametan odakle dolazite.
Sigurno je zaustaviti ranjivost da se iskorištava nije isto što i potpuno je ukloniti. U idealnom svijetu Google bi mogao pokrenuti bežično ažuriranje svakog Android uređaja i zauvijek ukloniti problem, baš kao što to čini Apple. Dopuštanje uslugama Play i Play Store da djeluju kao čuvari vrata zaustavno je rješenje, ali s obzirom na veličinu i prostranu prirodu Android ekosustava, prilično je učinkovito.
Ne čini u redu što mnogim proizvođačima i dalje treba predugo da guraju važna sigurnosna ažuriranja na uređaje, posebno one manje poznate, kao što se ovakva pitanja obično ističu. Ali to je mnogo Bolje išta nego ništa.
Važno je biti svjestan sigurnosnih problema, posebno ako ste tehnološki pametni korisnik Androida - one vrste osobe kojoj se obični ljudi obraćaju za pomoć kada nešto pođe po zlu s telefonom. Ali također je dobra ideja držati stvari u perspektivi i imajte na umu da nije važna samo ranjivost, već i mogući vektor napada. U slučaju Googleovog ekosustava, Play Store i Play Services dva su snažna alata s kojima Google može rukovati zlonamjernim softverom.
Stoga budite sigurni i budite pametni. Obavijestit ćemo vas o svim daljnjim informacijama o lažnom ID-u od glavnih proizvođača opreme za Android.
Ažuriraj: Googleov glasnogovornik je pružio Android Central sa sljedećom izjavom:
"Zahvaljujemo što nam je Bluebox odgovorno prijavio ovu ranjivost; Istraživanje treće strane jedan je od načina na koji je Android ojačan za korisnike. Nakon što smo dobili vijest o ovoj ranjivosti, brzo smo izdali zakrpu koja je distribuirana Android partnerima, kao i AOSP. Aplikacije Google Play i Verify također su poboljšane kako bi zaštitile korisnike od ovog problema. Trenutno smo skenirali sve prijave predane na Google Play, kao i one koje Google ima pregledan izvan Google Playa i nismo vidjeli nikakve dokaze o pokušaju njegovog iskorištavanja ranjivost."
Sony nam je također rekao da radi na tome da na svoje uređaje istisne lažni ID fix.
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Proviziju za kupnju možemo zaraditi putem naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Ovo su najbolji bendovi za Fitbit Sense i Versa 3.
Zajedno s izdanjem Fitbit Sense i Versa 3, tvrtka je također predstavila nove beskonačne bendove. Odabrali smo najbolje kako bismo vam olakšali posao.