כיום חברת מחקר האבטחה BlueBox - אותה חברה שחשפה את מה שמכונה פגיעות "מפתח מפתח" של Android - הודיעה על גילוי באג באופן בו אנדרואיד מטפלת בתעודות הזהות המשמשות לחתימת יישומים. הפגיעות, שאותה כינה BlueBox "זיהוי מזויף", מאפשרת לאפליקציות זדוניות לשייך את עצמם לאישורים של אפליקציות לגיטימיות, וכך להשיג גישה לדברים שאינם צריכים לגשת אליהם.
פרצות אבטחה כמו זה נשמעות מפחידות, וכבר ראינו כותרת אחת או שתיים היפרבוליות היום כשהסיפור הזה נשבר. עם זאת, כל באג שמאפשר לאפליקציות לעשות דברים שהם לא אמורים לעשות הוא בעיה רצינית. אז בואו נסכם את המתרחש בקצרה, מה המשמעות של אבטחת אנדרואיד והאם כדאי לדאוג ...
Verizon מציעה את פיקסל 4a במחיר של 10 דולר לחודש בלבד בקווים חדשים ללא הגבלה
עדכון: עדכנו מאמר זה כדי לשקף אישור מגוגל כי גם חנות Play וגם התכונה "אמת אפליקציות" עודכנו לטפל בבאג הזיהוי המזויף. המשמעות היא שלרוב המכריע של מכשירי Android הפעילים של Google כבר יש הגנה מסוימת מפני בעיה זו, כפי שנדון בהמשך המאמר. את ההצהרה המלאה של גוגל תוכלו למצוא בסוף פוסט זה.
הבעיה - תעודות דודגי
'זיהוי מזויף' נובע מבאג במתקין החבילות של Android.
על פי BlueBox, הפגיעות נובעת מבעיה במתקין חבילות האנדרואיד, החלק של מערכת ההפעלה המטפל בהתקנת אפליקציות. מתקין החבילה ככל הנראה אינו מאמת כראוי את האותנטיות של "רשתות האישורים הדיגיטליות", ומאפשר לאישור זדוני לטעון שהונפק על ידי גורם מהימן. זו בעיה מכיוון שחתימות דיגיטליות מסוימות מספקות לאפליקציות גישה מועדפת לפונקציות מסוימות במכשירים. עם Android 2.2-4.3, למשל, יישומים הנושאים את חתימת Adobe מקבלים גישה מיוחדת לתוכן של תצוגת אינטרנט - דרישה לתמיכה של Adobe Flash שאם נעשה בה שימוש לרעה עלול לגרום לבעיות. באופן דומה, זיוף החתימה של אפליקציה שיש לה גישה מיוחדת לחומרה המשמשת לתשלומים מאובטחים באמצעות NFC עשוי לאפשר לאפליקציה זדונית ליירט מידע פיננסי רגיש.
באופן מדאיג יותר, אישור זדוני יכול לשמש גם כדי להתחזות למכשיר מרוחק מסוים תוכנת ניהול, כגון 3LM, המשמשת יצרנים מסוימים ומעניקה שליטה נרחבת על התקן.
כפי שכותב חוקר BlueBox, ג'ף פוריסטל:
"חתימות אפליקציות ממלאות תפקיד חשוב במודל האבטחה של Android. חתימת יישום קובעת מי יכול לעדכן את היישום, אילו יישומים יכולים לשתף את נתוני [sic] שלו וכו '. הרשאות מסוימות, המשמשות לשער גישה לפונקציונליות, ניתנות לשימוש רק ביישומים בעלי אותה חתימה כמו יוצר ההרשאה. באופן מעניין יותר, לחתימות ספציפיות מאוד ניתנות הרשאות מיוחדות במקרים מסוימים. "
אמנם הבעיה של Adobe / webview אינה משפיעה על Android 4.4 (מכיוון שתצוגת האינטרנט מבוססת כעת על Chromium, אשר אין את אותם הווים של אדובי), כנראה שמתקנת החבילה המתקינה בחבילה ממשיכה להשפיע על חלקם גרסאות של קיט קט. בהצהרה שניתנה ל אנדרואיד סנטרל גוגל אמרה, "לאחר שהתבשרנו על פגיעות זו, הוצאנו במהירות תיקון שהופץ לשותפי אנדרואיד, כמו גם לפרויקט הקוד הפתוח של Android."
גוגל אומרת כי אין שום הוכחות ש- 'ID מזויף' מנוצל בטבע.
בהתחשב בכך ש- BlueBox הודיעה כי היא הודיעה לגוגל באפריל, סביר להניח שתיקון כלשהו ייכלל באנדרואיד 4.4.3, ואולי בכמה תיקוני אבטחה מבוססי 4.4.2 של יצרני יצרנים. (לִרְאוֹת קוד זה מתחייב - תודה אננט שריווסטאבהבדיקות ראשוניות עם האפליקציה של BlueBox עצמה מראות כי ה- LG G3 האירופאי, סמסונג גלקסי S5 ו- HTC One M8 אינם מושפעים מזיהוי מזויף. פנינו אל יצרני ה- OEM הגדולים של Android כדי לגלות אילו מכשירים אחרים עודכנו.
באשר למפרט הפרט של הזיהוי המזויף, פוריסטל אומר שהוא יגלה עוד על ועידת הכובע השחור בלאס וגאס באוגוסט. 2. בהצהרתה, גוגל הודיעה כי סרקה את כל האפליקציות בחנות הפליי שלה, וחלקן התארחו בחנויות אפליקציות אחרות, ולא מצאה שום הוכחה לכך שהנצל נוצל בעולם האמיתי.
הפיתרון - תיקון באגים של אנדרואיד בגוגל פליי
באמצעות שירותי Play, גוגל יכולה למעשה לסרס את הבאג הזה ברוב המערכת האקולוגית הפעילה של Android.
זיהוי מזויף הוא פגיעות ביטחונית חמורה שאם היא ממוקדת כראוי עלולה לאפשר לתוקף לגרום נזק חמור. וכיוון שטופלה לאחרונה באג הבסיסי ב- AOSP, נראה כי הרוב הגדול של טלפוני Android פתוחים להתקפה, ויישאר כך גם בעתיד הנראה לעין. כפי שדנו בעבר, המשימה לעדכן את מיליארד הטלפונים הפעילים של אנדרואיד היא אתגר עצום, ו"פיצול "הוא בעיה המובנית ב- DNA של אנדרואיד. אבל לגוגל יש קלף טראמפ כשנושאים בעיות אבטחה כאלה - שירותי Google Play.
בדיוק כמו שירותי Play מוסיף תכונות וממשקי API חדשים מבלי לדרוש עדכון קושחה, ניתן להשתמש בו גם לחיבור חורי אבטחה. לפני זמן מה גוגל הוסיפה תכונת "אמת יישומים" לשירותי Google Play כדרך לסרוק אפליקציות אחר תוכן זדוני לפני התקנתן. מה גם שהוא מופעל כברירת מחדל. ב- Android 4.2 ומעלה הוא חי תחת הגדרות> אבטחה; בגרסאות ישנות יותר תמצא אותו תחת הגדרות Google> אמת יישומים. כפי שאמר סונדר פיצ'אי ב Google I / O 201493 אחוז מהמשתמשים הפעילים נמצאים בגירסה האחרונה של שירותי Google Play. אפילו LG Optimus Vu הקדום שלנו, שמריץ את Android 4.0.4 כריך גלידה, יש את האפשרות "אמת אפליקציות" משירותי Play כדי להגן על תוכנות זדוניות.
גוגל אישרה בפני אנדרואיד סנטרל שתכונת "אמת אפליקציות" ו- Google Play עודכנו כדי להגן על המשתמשים מפני בעיה זו. ואכן, באגי אבטחה ברמת האפליקציה כמו זה הם בדיוק מה שתכונת "אמת אפליקציות" נועדה להתמודד איתם. זה מגביל באופן משמעותי את ההשפעה של זיהוי מזויף על כל מכשיר שמריץ גרסה עדכנית של שירותי Google Play - רחוק מלהיות את כל מכיוון שמכשירי Android היו פגיעים, הפעולה של גוגל לטפל בזיהוי מזויף באמצעות שירותי Play סירסה אותה למעשה לפני שהנושא בכלל הפך לידיעת הציבור.
נגלה מידע נוסף כאשר המידע על הבאג יתגלה ב- Black Hat. אך מכיוון שמאמת האפליקציות של גוגל וחנות Play יכולים לתפוס אפליקציות באמצעות זיהוי מזויף, הטענה של BlueBox לפיה "כל משתמשי Android מאז ינואר 2010" נמצאים בסיכון נראית מוגזמת. (למרות שמודה, משתמשים שמריצים מכשיר עם גרסת Android שאינה מאושרת על ידי Google נותרים במצב דביק יותר.)
עם זאת, העובדה שגוגל ידעה מזהה מזויף מאז אפריל, גורמת לכך שמאוד לא סביר שאפליקציות המשתמשות ב- exploit יגיעו לחנות Play בעתיד. כמו רוב בעיות האבטחה של אנדרואיד, הדרך הקלה והיעילה ביותר להתמודד עם זיהוי מזויף היא להיות חכם מאיפה אתה משיג את האפליקציות שלך.
מה שבטוח, עצירת ניצול הפגיעות אינה זהה לחיסולו לחלוטין. בעולם אידיאלי גוגל תוכל לדחוף עדכון אווירי לכל מכשיר אנדרואיד ולבטל את הבעיה לנצח, בדיוק כמו שאפל עושה. לתת לשירותי Play ולחנות Play לשמש כשומרי סף הוא פיתרון של עצירת פער, אך בהתחשב בגודלו ובאופי השרוע של המערכת האקולוגית של אנדרואיד, זה יעיל למדי.
זה לא עושה את זה בסדר שליצרנים רבים עדיין לוקח זמן רב מדי לדחוף עדכוני אבטחה חשובים למכשירים, במיוחד פחות מוכרים, שכן נושאים כאלה נוטים להדגיש. אבל זה א מִגרָשׁ יותר טוב מכלום.
חשוב להיות מודע לבעיות אבטחה, במיוחד אם אתה משתמש אנדרואיד בעל יכולת טכנולוגיה - סוג האנשים שאנשים רגילים פונים לעזרה כאשר משהו משתבש בטלפון שלהם. אבל זה גם רעיון טוב לשמור על דברים בפרספקטיבה, ולזכור שלא רק הפגיעות חשובה, אלא גם וקטור ההתקפה האפשרי. במקרה של המערכת האקולוגית הנשלטת על ידי Google, חנות Play ושירותי Play הם שני כלים חזקים שבעזרתם גוגל יכולה להתמודד עם תוכנות זדוניות.
אז הישאר בטוח והישאר חכם. אנו נעדכן אותך בכל מידע נוסף על מזהה מזויף של יצרני יצרני Android הגדולים.
עדכון: דובר גוגל מסר אנדרואיד סנטרל עם ההצהרה הבאה:
"אנו מעריכים כי Bluebox מדווחת באחריות על פגיעות זו אלינו; מחקר צד ג 'הוא אחת הדרכים בהן אנדרואיד מתחזקת למשתמשים. לאחר שנודע לנו על פגיעות זו, הוצאנו במהירות תיקון שהופץ לשותפי אנדרואיד וכן ל- AOSP. אפליקציות Google Play ו- Verify שופרו גם כדי להגן על המשתמשים מפני בעיה זו. נכון לעכשיו, סרקנו את כל הבקשות שהוגשו ל- Google Play כמו גם את אלה שיש ל- Google נבדק מחוץ ל- Google Play ולא ראינו שום הוכחה לניסיון ניצול זה פגיעות."
סוני גם אמרה לנו שהיא עובדת על דחיקת תיקון ה- ID המזויף למכשירים שלה.
האם האזנת לפודקאסט המרכזי של Android השבוע?
מדי שבוע ה- Podcast המרכזי של אנדרואיד מביא לכם את החדשות הטכנולוגיות האחרונות, ניתוחים וצילומים חמים, עם מארחים מוכרים ואורחים מיוחדים.
- הירשם כמלה בכיס: שֶׁמַע
- הירשם ב- Spotify: שֶׁמַע
- הירשם ב- iTunes: שֶׁמַע
אנו עשויים להרוויח עמלה עבור רכישות באמצעות הקישורים שלנו. למד עוד.
אלה האוזניות האלחוטיות הטובות ביותר שאתה יכול לקנות בכל מחיר!
האוזניות האלחוטיות הטובות ביותר נוחות, נשמעות נהדר, לא עולות יותר מדי ונכנסות בקלות לכיס.
כל מה שאתה צריך לדעת על PS5: תאריך יציאה, מחיר ועוד.
סוני אישרה רשמית שהיא עובדת על פלייסטיישן 5. הנה כל מה שאנחנו יודעים עליו עד כה.
נוקיה משיקה שני טלפונים חדשים של Android One עם פחות תקציב של 200 דולר.
נוקיה 2.4 ונוקיה 3.4 הן התוספות האחרונות למערך הסמארטפונים התקציביים של HMD Global. מכיוון ששניהם מכשירי Android One, מובטח שהם יקבלו שני עדכוני מערכת הפעלה מרכזיים ועדכוני אבטחה קבועים עד שלוש שנים.
אלה הלהקות הטובות ביותר עבור Fitbit Sense ו- Versa 3.
לצד יציאתם של ה- Fitbit Sense ו- Versa 3 הציגה החברה גם להקות אינסוף חדשות. בחרנו את הטובים ביותר כדי להקל עליך.