'Hamis azonosító' és az Android biztonsága [Frissítve]

Ma a BlueBox biztonsági kutatócég - ugyanaz a cég fedezte fel az ún Android "Master Key" biztonsági rése - bejelentette, hogy hibát fedeztek fel abban, ahogy az Android kezeli az alkalmazások aláírásához használt személyazonossági tanúsítványokat. A biztonsági rés, amelyet a BlueBox „hamis azonosítónak” nevezett el, lehetővé teszi a rosszindulatú alkalmazások számára, hogy társuljanak a törvényes alkalmazások tanúsítványaihoz, és így hozzáférhessenek olyan dolgokhoz, amelyekhez nem kellene hozzáférniük.

Az ehhez hasonló biztonsági rések félelmetesnek tűnnek, és ma már láttunk egy-két hiperbolikus címsort, mivel ez a történet megtört. Mindazonáltal minden olyan hiba, amely lehetővé teszi, hogy az alkalmazások olyan dolgokat hajtsanak végre, amelyekre nem kellene, komoly problémát jelent. Szóval összegezzük dióhéjban, hogy mi történik, mit jelent az Android biztonsága szempontjából, és érdemes-e aggódni ...

Frissítés: Ezt a cikket frissítettük, hogy tükrözze a Google megerősítését, miszerint a Play Store és az „alkalmazások ellenőrzése” funkciót is valóban frissítették a Hamis azonosító hiba elhárítására. Ez azt jelenti, hogy az aktív Google Android-eszközök túlnyomó többsége már rendelkezik némi védettséggel ez ellen a kérdéssel kapcsolatban, amint arról a cikk később tárgyal A Google teljes nyilatkozata e bejegyzés végén található.

A probléma - Dodgy tanúsítványok

A „hamis azonosító” az Android csomagtelepítő hibájából származik.

A BlueBox szerint a biztonsági rés az Android csomag telepítőjének egyik problémájából fakad, az operációs rendszer azon részéből, amely az alkalmazások telepítését kezeli. A csomagtelepítő nyilvánvalóan nem ellenőrzi megfelelően a digitális tanúsítvány "láncainak" hitelességét, így egy rosszindulatú tanúsítvány azt állíthatja, hogy megbízható fél állította ki. Ez problémát jelent, mert bizonyos digitális aláírások az alkalmazások számára privilegizált hozzáférést biztosítanak egyes eszközfunkciókhoz. Az Android 2.2–4.3 alkalmazással például az Adobe aláírását viselő alkalmazások különleges hozzáférést kapnak a webnézeti tartalomhoz - ez az Adobe Flash támogatás követelménye, amely visszaélés esetén problémákat okozhat. Hasonlóképpen, az NFC-n keresztül biztonságos fizetésekhez használt hardverhez privilegizált hozzáféréssel rendelkező alkalmazások aláírásának meghamisítása lehetővé teheti egy rosszindulatú alkalmazás számára az érzékeny pénzügyi információk elfogását.

Aggasztóbb, hogy rosszindulatú tanúsítványt is lehet használni bizonyos távoli eszközök megszemélyesítéséhez kezelő szoftver, például a 3LM, amelyet egyes gyártók használnak, és széleskörű ellenőrzést biztosít a eszköz.

Ahogy Jeff Foristall, a BlueBox kutatója írja:

"Az alkalmazás-aláírások fontos szerepet játszanak az Android biztonsági modelljében. Az alkalmazás aláírása meghatározza, hogy ki frissítheti az alkalmazást, milyen alkalmazások oszthatják meg az [sic] adatait stb. Bizonyos engedélyeket, amelyeket a funkcionalitáshoz való hozzáféréshez használnak, csak azok az alkalmazások használhatják, amelyek ugyanazzal az aláírással rendelkeznek, mint az engedély készítője. Érdekesebb, hogy a nagyon meghatározott aláírások bizonyos esetekben különleges kiváltságokat kapnak. "

Míg az Adobe / webview probléma nem érinti az Android 4.4-et (mert a webnézet most Chromiumon alapul, amely nem rendelkeznek ugyanazokkal az Adobe horgokkal), a mögöttes csomagtelepítő hiba nyilvánvalóan továbbra is hatással van egyesekre verziói Kit Kat. -Nak adott nyilatkozatában Android Central A Google elmondta: "Miután értesültünk erről a biztonsági résről, gyorsan kiadtunk egy javítást, amelyet az Android partnereknek, valamint az Android Open Source Project-nek terjesztettek."

A Google szerint nincs bizonyíték arra, hogy a hamis azonosítót kizsákmányolják a vadonban.

Tekintettel arra, hogy a BlueBox azt állítja, hogy áprilisban tájékoztatta a Google-t, valószínűleg bármilyen javítás bekerült az Android 4.4.3-ba, és esetleg az OEM-ek 4.4.2-alapú biztonsági javításaiba. (Lát ezt a kódot kötelezd el - köszönöm Anant Shrivastava.) A BlueBox saját alkalmazásával végzett kezdeti teszt azt mutatja, hogy az európai LG G3, Samsung Galaxy S5 és HTC One M8 készülékeket nem érinti a Fake ID. Megkerestük a nagy Android-gyártókat, hogy megtudjuk, mely további eszközök frissültek.

Ami a Fake ID vuln sajátosságait illeti, Forristal szerint többet fog árulni a augusztusi Las Vegas-i Black Hat konferenciáról. 2. Nyilatkozatában a Google azt mondta, hogy a Play Áruházban lévő összes alkalmazást beolvasta, és néhányat más alkalmazásboltokban tároltak, és nem talált bizonyítékot arra, hogy a kizsákmányolást a való világban használják.

A megoldás - Android-hibák kijavítása a Google Play segítségével

A Play Szolgáltatások révén a Google hatékonyan ivartalaníthatja ezt a hibát az aktív Android-ökoszisztéma nagy részében.

A hamis azonosító súlyos biztonsági rés, amely megfelelő célzás esetén a támadóknak komoly károkat okozhat. És mivel a mögöttes hibával csak nemrég foglalkoztak az AOSP-ban, úgy tűnhet, hogy az androidos telefonok túlnyomó többsége nyitott a támadásra, és az a belátható jövőben is így marad. Ahogy korábban megbeszéltük, A nagyjából egymillió aktív Android-telefon frissítésének feladata óriási kihívást jelent, és a "széttagoltság" olyan probléma, amely beépül az Android DNS-be. De a Google-nek van egy ütőkártyája, amelyet ilyen biztonsági kérdésekkel kell kezelnie - a Google Play Services.

Csakúgy, mint a Play Services új funkciókat és API-kat ad hozzá firmware frissítés nélkül, biztonsági lyukak bedugására is használható. Nemrégiben a Google egy "alkalmazások ellenőrzése" funkcióval bővítette a Google Play Szolgáltatásokat, hogy ellenőrizze az alkalmazások rosszindulatú tartalmát azok telepítése előtt. Ráadásul alapértelmezés szerint be van kapcsolva. Az Android 4.2 és újabb verzióiban a Beállítások> Biztonság menüpont alatt él; régebbi verziókon a Google Beállítások> Alkalmazások ellenőrzése menüpont alatt találja meg. Ahogy Sundar Pichai mondta Google I / O 2014, Az aktív felhasználók 93 százaléka a Google Play-szolgáltatások legújabb verzióját használja. Még az ősi LG Optimus Vu is, amely Android 4.0.4-et futtat Jégkrémszendvics, rendelkezik a Play Services "alkalmazások ellenőrzése" opciójával, hogy megvédje a rosszindulatú programokat.

A Google megerősítette Android Central hogy az "alkalmazások ellenőrzése" és a Google Play szolgáltatás frissítve lett, hogy megvédje a felhasználókat ettől a problémától. Valójában az ehhez hasonló alkalmazásszintű biztonsági hibákat pontosan az "alkalmazások ellenőrzése" funkcióval tervezték kezelni. Ez jelentősen korlátozza a Fake ID hatását minden olyan eszközre, amely a Google Play Services naprakész verzióját futtatja - távolról sem minden Mivel az Android-eszközök sebezhetőek, a Google fellépése a hamis személyazonosító okmány kezelésére a Play Services segítségével hatékonyan semlegesítette azt, még mielőtt a probléma közhírré vált volna.

Tudni fogunk többet, amikor a hibával kapcsolatos információk elérhetővé válnak a Black Hat oldalon. De mivel a Google alkalmazás-ellenőrzője és a Play Áruház el tudja fogadni az alkalmazásokat a Fake ID használatával, a BlueBox állítása, amely szerint "2010 januárja óta minden Android-felhasználó veszélyben van", eltúlzottnak tűnik. (Bár igaz, hogy a nem Google által jóváhagyott Android-verzióval rendelkező eszközt futtató felhasználók ragadósabb helyzetben maradnak.)

Ettől függetlenül az a tény, hogy a Google április óta tudatában van a Fake ID-nek, valószínűtlenné teszi, hogy bármelyik kihasználó alkalmazás bekerüljön a jövőben a Play Store-ba. A legtöbb Android biztonsági kérdéshez hasonlóan a Fake ID kezelésének legegyszerűbb és leghatékonyabb módja az, ha okosan jár el azzal kapcsolatban, hogy honnan szerzi be alkalmazásait.

Az biztos, hogy a biztonsági rés kihasználásának megakadályozása nem azonos a teljes megszüntetésével. Egy ideális világban a Google képes lenne minden Android-eszközön frissítést küldeni az interneten, és örökre kiküszöbölheti a problémát, csakúgy, mint az Apple. A Play Services és a Play Store kapuőrként való működtetése egy átmeneti megoldás, de az Android ökoszisztéma méretét és terjedő jellegét tekintve elég hatékony.

Nem teszi rendben, hogy sok gyártó még mindig túl sok időt vesz igénybe az eszközök fontos biztonsági frissítéseinek, különösen a kevésbé ismertek számára, amint az ilyen kérdések általában rámutatnak. De ez egy sok jobb mint a semmi.

Fontos, hogy tisztában legyünk a biztonsági problémákkal, különösen akkor, ha technikailag jártas Android-felhasználó - az a fajta ember, akihez a rendszeres emberek fordulnak segítségért, ha valami rosszul esik a telefonjukkal. De az is jó ötlet, hogy a dolgokat perspektívában tartsuk, és ne feledjük, hogy nem csak a sérülékenység a fontos, hanem az esetleges támadási vektor is. A Google által ellenőrzött ökoszisztéma esetében a Play Store és a Play Services két hatékony eszköz, amelyekkel a Google képes kezelni a rosszindulatú programokat.

Tehát maradjon biztonságban és maradjon okos. Tájékoztatjuk Önt a hamis azonosítóval kapcsolatos további információkról a fő Android-gyártóktól.

Frissítés: A Google szóvivője közölte Android Central a következő állítással:

"Nagyra értékeljük, hogy a Bluebox felelősséggel jelentette nekünk ezt a sebezhetőséget; harmadik fél által végzett kutatás az egyik módja annak, hogy az Android erősebbé váljon a felhasználók számára. Miután értesültünk erről a biztonsági résről, gyorsan kiadtunk egy javítást, amelyet az Android partnereknek, valamint az AOSP-nak terjesztettek. A Google Play és az Ellenőrizze az alkalmazásokat is továbbfejlesztették, hogy megvédjék a felhasználókat ettől a problémától. Jelenleg az összes, a Google Playre beküldött kérelmet átvizsgáltuk, valamint a Google által benyújtottakat a Google Playen kívülről áttekintettük, és nem találtunk bizonyítékot ennek kiaknázására sebezhetőség."

A Sony azt is elmondta nekünk, hogy azon dolgozik, hogy kitolja az eszközére a Fake ID javítást.