Šiandien saugumo tyrimų įmonė „BlueBox“ - ta pati įmonė, kuri atskleidė vadinamąjį „Android“ pagrindinis raktas - paskelbė aptikęs klaidą, kaip „Android“ tvarko tapatybės sertifikatus, naudojamus programoms pasirašyti. Pažeidžiamumas, kurio „BlueBox“ pavadino „Padirbtu ID“, kenkėjiškoms programoms leidžia susieti save su teisėtų programų sertifikatais, tokiu būdu gaunant prieigą prie daiktų, prie kurių neturėtų būti.
Tokie saugumo pažeidžiamumai, kaip šis, skamba baisiai, ir šiandien jau matėme vieną ar dvi hiperbolines antraštes, nes ši istorija nutrūko. Nepaisant to, bet kokia klaida, leidžianti programoms atlikti tai, ko jie neturėtų daryti, yra rimta problema. Taigi apibendrinkime, kas vyksta trumpai, ką tai reiškia „Android“ saugumui ir ar verta jaudintis ...
„Verizon“ siūlo „Pixel 4a“ tik už 10 USD / mėn naujosiose neribotose linijose
Atnaujinti: Atnaujinome šį straipsnį, kad atspindėtume „Google“ patvirtinimą, kad „Play Store“ ir „programų patvirtinimo“ funkcija iš tikrųjų buvo atnaujinta, kad būtų pašalinta „Fake ID“ klaida. Tai reiškia, kad didžioji dauguma aktyvių „Google Android“ įrenginių jau turi tam tikrą apsaugą nuo šios problemos, kaip aptarta vėliau straipsnyje. Visą „Google“ pareiškimą galite rasti šio įrašo pabaigoje.
Problema - Dodgy sertifikatai
„Fake ID“ kilo iš „Android“ paketų diegimo programos klaidos.
Pasak „BlueBox“, pažeidžiamumas kyla dėl „Android“ paketų diegimo programos problemos - OS dalies, kuri tvarko programų diegimą. Akivaizdu, kad paketų diegimo programa tinkamai nepatikrina skaitmeninių sertifikatų „grandinių“ autentiškumo, todėl kenkėjiškas sertifikatas gali tvirtinti, kad jį išdavė patikima šalis. Tai problema, nes tam tikri skaitmeniniai parašai suteikia programoms privilegijuotą prieigą prie kai kurių įrenginio funkcijų. Pavyzdžiui, naudojant „Android 2.2–4.3“, programoms, turinčioms „Adobe“ parašą, suteikiama speciali prieiga prie žiniatinklio rodinio turinio - „Adobe Flash“ palaikymo reikalavimas, kuris netinkamai naudojant gali sukelti problemų. Panašiai, suklastojus programos, turinčios privilegijuotą prieigą prie aparatūros, naudojamos saugiems mokėjimams per NFC, parašą, kenksminga programa gali leisti perimti neskelbtiną finansinę informaciją.
Nerimą kelia tai, kad kenkėjiškas sertifikatas taip pat gali būti naudojamas apsimetant tam tikru nuotoliniu įrenginiu valdymo programinę įrangą, tokią kaip 3LM, kurią naudoja kai kurie gamintojai ir kuri suteikia didelę kontrolę prietaisą.
Kaip rašo „BlueBox“ tyrėjas Jeffas Foristallas:
„Programos parašai vaidina svarbų vaidmenį„ Android “saugumo modelyje. Programos parašas nustato, kas gali atnaujinti programą, kokios programos gali bendrinti jos [sic] duomenis ir kt. Tam tikrus leidimus, naudojamus vartų prieigai prie funkcionalumo, gali naudoti tik programos, turinčios tą patį parašą kaip ir leidimų kūrėjas. Dar įdomiau, kad labai specifiniams parašams tam tikrais atvejais suteikiamos specialios privilegijos “.
Nors „Adobe“ / „webview“ problema neturi įtakos „Android 4.4“ (nes žiniatinklio peržiūra dabar pagrįsta „Chromium“, kuri neturi tų pačių „Adobe“ kablių), akivaizdu, kad pagrindinė paketų diegimo programa trunka kai kuriuos versijos „KitKat“. Duotame pareiškime „Android Central“ „Google“ teigė: „Gavę pranešimą apie šį pažeidžiamumą, mes greitai išleidome pataisą, kuris buvo išplatintas„ Android “partneriams, taip pat„ Android Open Source Project “.
„Google“ teigia, kad nėra įrodymų, jog gamtoje naudojamas „netikras ID“.
Atsižvelgiant į tai, kad „BlueBox“ teigia, kad balandžio mėn. Informavo „Google“, tikėtina, kad bet koks pataisymas bus įtrauktas į „Android 4.4.3“ ir galbūt kai kuriuos 4.4.2 pagrįstus originalių gamintojų saugos pataisymus. (Matyti šis kodas įsipareigoti - dėkoju Anantas Šrivastava.) Pradiniai bandymai naudojant pačios „BlueBox“ programą rodo, kad „Fake ID“ neturi įtakos Europos „LG G3“, „Samsung Galaxy S5“ ir „HTC One M8“. Mes susisiekėme su pagrindiniais „Android“ gamintojais, kad sužinotume, kurie kiti įrenginiai buvo atnaujinti.
Kalbant apie „Fake ID vuln“ specifiką, „Forristal“ sako, kad apie tai daugiau atskleis „Black Hat“ konferencijoje Las Vegase rugpjūčio mėn. 2. Savo pranešime „Google“ teigė, kad jis nuskaitydavo visas programas savo „Play“ parduotuvėje, o kai kurias - kitose programų parduotuvėse, ir nerado įrodymų, kad išnaudojimas buvo naudojamas realiame pasaulyje.
Sprendimas - „Android“ klaidų taisymas naudojant „Google Play“
Naudodama „Play Services“, „Google“ gali efektyviai kastruoti šią klaidą daugumoje aktyvių „Android“ ekosistemų.
Padirbtas ID yra rimtas saugumo pažeidžiamumas, kurį tinkamai pritaikius, užpuolikas gali padaryti rimtos žalos. Kadangi pagrindinė klaida buvo neseniai pašalinta AOSP, gali pasirodyti, kad didžioji dauguma „Android“ telefonų yra atviri atakai ir išliks artimiausioje ateityje. Kaip jau aptarėme anksčiau, užduotis atnaujinti maždaug milijardą aktyvių „Android“ telefonų yra didžiulis iššūkis, o „susiskaldymas“ yra problema, kuri yra įtraukta į „Android“ DNR. Tačiau „Google“ turi žaisti kozirį, spręsdama tokias saugumo problemas kaip šis - „Google Play“ paslaugos.
Tiesiog kaip „Play Services“ prideda naujų funkcijų ir API nereikalaujant programinės aparatinės įrangos atnaujinimo, jis taip pat gali būti naudojamas saugos skylėms užkimšti. Prieš kurį laiką „Google“ prie „Google Play“ paslaugų pridėjo funkciją „Patvirtinti programas“, kad būtų galima patikrinti, ar programose nėra kenkėjiško turinio, kol jos dar nėra įdiegtos. Be to, jis įjungtas pagal numatytuosius nustatymus. „Android 4.2“ ir naujesnėse versijose jis gyvena skiltyje „Nustatymai“> „Sauga“; senesnėse versijose rasite skiltyje „Google“ nustatymai> Patvirtinti programas. Kaip sakė Sundaras Pichai „Google I / O 2014“, 93 proc. Aktyvių vartotojų naudojasi naujausios versijos „Google Play“ paslaugomis. Net mūsų senovės „LG Optimus Vu“, kuriame veikia 4.0.4 versijos „Android“ Ledų sumuštinis, turi „Play Services“ parinktį „patikrinti programas“, kad apsaugotų nuo kenkėjiškų programų.
„Google“ patvirtino „Android Central“ kad „programų patvirtinimo“ funkcija ir „Google Play“ buvo atnaujintos, kad apsaugotų vartotojus nuo šios problemos. Iš tiesų, tokios programų lygio saugos klaidos, kaip ši, yra skirta „programų patikrinimo“ funkcijai pašalinti. Tai žymiai apriboja „Fake ID“ poveikį bet kokiam įrenginiui, kuriame veikia naujausia „Google Play“ paslaugų versija - toli gražu ne taip visi „Android“ įrenginiai yra pažeidžiami. „Google“ veiksmai, padedantys pašalinti „Fake ID“ per „Play“ paslaugas, veiksmingai jį kastravo, kol problema net tapo vieša.
Mes sužinosime daugiau, kai informacija apie klaidą taps prieinama „Black Hat“. Kadangi „Google“ programų tikrintojas ir „Play“ parduotuvė gali gaudyti programas naudodami „Fake ID“, „BlueBox“ teiginys, kad „visi„ Android “vartotojai yra nuo 2010 m. Sausio mėn.“, Atrodo perdėtas. (Tiesa, vartotojai, valdantys įrenginį su „Google“ nepatvirtinta „Android“ versija, lieka lipnesni.)
Nepaisant to, dėl to, kad „Google“ nuo balandžio mėn. Žino „Fake ID“, labai mažai tikėtina, kad bet kurios programos, naudojančios išnaudojimą, ateityje pateks į „Play“ parduotuvę. Kaip ir dauguma „Android“ saugumo problemų, paprasčiausias ir efektyviausias būdas kovoti su „Fake ID“ yra protingas sprendimas, iš kur gaunate savo programas.
Be abejo, sustabdyti pažeidžiamumo naudojimą nėra tas pats, kas jį visiškai pašalinti. Idealiame pasaulyje „Google“ galėtų atnaujinti kiekvieno „Android“ įrenginio naujinimą per orą ir visam laikui pašalinti problemą, kaip tai daro „Apple“. Leisti „Play Services“ ir „Play Store“ veikti kaip vartų sargams yra spragų sprendimas, tačiau, atsižvelgiant į „Android“ ekosistemos dydį ir išplitusią prigimtį, tai gana veiksminga.
Nėra gerai, kad daugelis gamintojų vis dar per ilgai ištrina svarbius įrenginių saugos naujinimus, ypač mažiau žinomus, nes tokios problemos dažniausiai išryškėja. Bet tai yra daug geriau negu nieko.
Svarbu žinoti saugumo problemas, ypač jei esate išmanantis technologijas „Android“ vartotojas - toks žmogus, į kurį įprasti žmonės kreipiasi pagalbos, kai kažkas negerai su jų telefonu. Tačiau taip pat yra gera idėja viską laikyti perspektyvoje ir atminti, kad svarbu ne tik pažeidžiamumas, bet ir galimas atakos vektorius. „Google“ valdomos ekosistemos atveju „Play Store“ ir „Play Services“ yra du galingi įrankiai, kuriais „Google“ gali tvarkyti kenkėjiškas programas.
Taigi būkite saugūs ir išlikite protingi. Mes jus informuosime apie bet kokią papildomą informaciją apie „Fake ID“ iš pagrindinių „Android“ gamintojų.
Atnaujinti: „Google“ atstovas pateikė „Android Central“ su tokiu teiginiu:
„Mes vertiname„ Bluebox “, atsakingai pranešdami mums apie šį pažeidžiamumą; trečiųjų šalių tyrimai yra vienas iš būdų, kaip „Android“ vartotojams sustiprinti. Gavę pranešimą apie šį pažeidžiamumą, mes greitai išleidome pataisą, kuris buvo išplatintas „Android“ partneriams ir AOSP. „Google Play“ ir „Verify Apps“ taip pat patobulinta, kad apsaugotų vartotojus nuo šios problemos. Šiuo metu mes patikrinome visas „Google Play“ pateiktas paraiškas, taip pat ir tas, kurias pateikė „Google“ peržiūrėta iš „Google Play“ ribų ir nematėme jokių bandymų tuo pasinaudoti įrodymų pažeidžiamumas “.
„Sony“ taip pat mums pasakė, kad stengiasi išstumti „Fake ID“ pataisymą į savo įrenginius.
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technologijų naujienas, analizę ir naujienas, su pažįstamais bendraautoriais ir specialiais svečiais.
- Prenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau.
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
Tai geriausios „Fitbit Sense“ ir „Versa 3“ grupės.
Kartu su „Fitbit Sense“ ir „Versa 3“ išleidimu bendrovė taip pat pristatė naujas begalybės juostas. Mes išsirinkome geriausius, kad jums būtų lengviau.