„Fałszywy identyfikator” i zabezpieczenia systemu Android [Zaktualizowano]

Dziś firma zajmująca się badaniami nad bezpieczeństwem BlueBox - ta sama firma, która odkryła tzw Luka „Master Key” systemu Android - ogłosił wykrycie błędu w sposobie, w jaki Android obsługuje certyfikaty tożsamości używane do podpisywania aplikacji. Luka, którą BlueBox nazwał „Fake ID”, umożliwia złośliwym aplikacjom kojarzenie się z certyfikatami legalnych aplikacji, uzyskując w ten sposób dostęp do rzeczy, do których nie powinny mieć dostępu.

Luki w zabezpieczeniach, takie jak ta, brzmią przerażająco, a dziś widzieliśmy już jeden lub dwa hiperboliczne nagłówki, gdy ta historia się zepsuła. Niemniej jednak każdy błąd, który pozwala aplikacjom robić rzeczy, których nie powinny robić, jest poważnym problemem. Podsumujmy więc w pigułce, co to oznacza dla bezpieczeństwa Androida i czy warto się martwić ...

Aktualizacja: Zaktualizowaliśmy ten artykuł, aby odzwierciedlić potwierdzenie od Google, że zarówno Sklep Play, jak i funkcja „weryfikacji aplikacji” zostały rzeczywiście zaktualizowane w celu usunięcia błędu fałszywego identyfikatora. Oznacza to, że zdecydowana większość aktywnych urządzeń z systemem Google Android ma już pewną ochronę przed tym problemem, co omówiono w dalszej części artykułu. Pełne oświadczenie Google można znaleźć na końcu tego posta.

Problem - certyfikaty Dodgy

„Fałszywy identyfikator” wynika z błędu w instalatorze pakietów Androida.

Według BlueBox luka w zabezpieczeniach wynika z problemu z instalatorem pakietów Androida, częścią systemu operacyjnego, która obsługuje instalację aplikacji. Najwyraźniej instalator pakietów nie weryfikuje poprawnie autentyczności „łańcuchów” certyfikatów cyfrowych, co pozwala złośliwemu certyfikatowi twierdzić, że został wydany przez zaufaną stronę. To problem, ponieważ niektóre podpisy cyfrowe zapewniają aplikacjom uprzywilejowany dostęp do niektórych funkcji urządzenia. Na przykład w systemie Android 2.2-4.3 aplikacje opatrzone podpisem Adobe mają specjalny dostęp do treści webview - wymóg obsługi Adobe Flash, który w przypadku niewłaściwego użycia może spowodować problemy. Podobnie sfałszowanie podpisu aplikacji, która ma uprzywilejowany dostęp do sprzętu używanego do bezpiecznych płatności przez NFC, może pozwolić złośliwej aplikacji przechwycić poufne informacje finansowe.

Co bardziej niepokojące, złośliwy certyfikat może również służyć do podszywania się pod określone urządzenie zdalne oprogramowanie do zarządzania, takie jak 3LM, które jest używane przez niektórych producentów i zapewnia szeroką kontrolę nad plikiem urządzenie.

Jak pisze badacz BlueBox Jeff Foristall:

„Podpisy aplikacji odgrywają ważną rolę w modelu bezpieczeństwa Androida. Podpis aplikacji określa, kto może aktualizować aplikację, jakie aplikacje mogą udostępniać jej [sic] dane itp. Niektóre uprawnienia używane do bramkowania dostępu do funkcji są używane tylko przez aplikacje, które mają ten sam podpis, co twórca uprawnień. Co ciekawsze, bardzo specyficzne podpisy otrzymują w niektórych przypadkach specjalne przywileje ”.

Chociaż problem Adobe / Webview nie dotyczy Androida 4.4 (ponieważ Webview jest teraz oparty na Chromium, który nie ma tych samych haków Adobe), błąd instalatora pakietu najwyraźniej nadal wpływa na niektóre wersje KitKat. W oświadczeniu przekazanym Android Central Google powiedział: „Po otrzymaniu wiadomości o tej luce szybko wydaliśmy poprawkę, która została rozesłana do partnerów Androida, a także do projektu Android Open Source”.

Google twierdzi, że nie ma dowodów, że „fałszywy identyfikator” jest wykorzystywany na wolności.

Biorąc pod uwagę, że BlueBox powiedział, że poinformował Google w kwietniu, prawdopodobnie jakakolwiek poprawka zostanie uwzględniona w systemie Android 4.4.3 i prawdopodobnie jakieś poprawki zabezpieczeń oparte na 4.4.2 od producentów OEM. (Widzieć ten kod commit - dzięki Anant Shrivastava.) Wstępne testy z własną aplikacją BlueBox wykazały, że Fake ID nie dotyczy europejskich LG G3, Samsung Galaxy S5 i HTC One M8. Skontaktowaliśmy się z głównymi producentami OEM systemu Android, aby dowiedzieć się, które inne urządzenia zostały zaktualizowane.

Jeśli chodzi o szczegóły wulnów dotyczących fałszywych dokumentów tożsamości, Forristal mówi, że ujawni więcej informacji na konferencji Black Hat Conference w Las Vegas w sierpniu. 2. W swoim oświadczeniu Google powiedział, że przeskanował wszystkie aplikacje w swoim Sklepie Play, a niektóre były hostowane w innych sklepach z aplikacjami i nie znalazło dowodów na to, że exploit był używany w prawdziwym świecie.

Rozwiązanie - Naprawianie błędów Androida za pomocą Google Play

Dzięki usługom Play Google może skutecznie wyeliminować ten błąd w większości aktywnego ekosystemu Androida.

Fałszywy identyfikator to poważna luka w zabezpieczeniach, która odpowiednio namierzona może pozwolić atakującemu na wyrządzenie poważnych szkód. A ponieważ podstawowy błąd został niedawno rozwiązany w AOSP, może się wydawać, że zdecydowana większość telefonów z Androidem jest podatna na ataki i tak pozostanie w najbliższej przyszłości. Jak omówiliśmy wcześniej, Zadanie zaktualizowania około miliarda aktywnych telefonów z Androidem jest ogromnym wyzwaniem, a „fragmentacja” to problem wpisany w DNA Androida. Ale Google ma do odegrania atut, gdy ma do czynienia z takimi problemami bezpieczeństwa - Usługi Google Play.

Podobnie jak usługi Play dodaje nowe funkcje i interfejsy API bez konieczności aktualizacji oprogramowania układowego, może być również używany do zatykania otworów bezpieczeństwa. Jakiś czas temu Google dodał funkcję „weryfikuj aplikacje” do usług Google Play, aby przeskanować aplikacje pod kątem złośliwej zawartości, zanim zostaną one zainstalowane. Co więcej, jest domyślnie włączony. W Androidzie 4.2 i nowszych znajduje się w Ustawienia> Bezpieczeństwo; w starszych wersjach znajdziesz go w Ustawieniach Google> Weryfikuj aplikacje. Jak powiedział Sundar Pichai o godz Google I / O 201493 procent aktywnych użytkowników korzysta z najnowszej wersji usług Google Play. Nawet nasz stary LG Optimus Vu z systemem Android 4.0.4 Lodowa Kanapka, ma opcję „weryfikuj aplikacje” w Usługach Play, aby chronić się przed złośliwym oprogramowaniem.

Google potwierdziło Android Central że funkcja „weryfikuj aplikacje” i Google Play zostały zaktualizowane, aby chronić użytkowników przed tym problemem. Rzeczywiście, takie błędy bezpieczeństwa na poziomie aplikacji są dokładnie tym, do czego służy funkcja „weryfikuj aplikacje”. To znacznie ogranicza wpływ Fałszywego ID na każde urządzenie z aktualną wersją Usług Google Play - wręcz przeciwnie wszystko Urządzenia z Androidem są podatne na ataki, więc działanie Google mające na celu rozwiązanie problemu fałszywego identyfikatora za pośrednictwem usług Play skutecznie go zneutralizowało, zanim problem stał się nawet publicznie dostępny.

Dowiemy się więcej, gdy informacje o błędzie będą dostępne w Black Hat. Ale ponieważ weryfikator aplikacji Google i Sklep Play mogą przechwytywać aplikacje przy użyciu fałszywego identyfikatora, twierdzenie BlueBox, że „wszyscy użytkownicy Androida od stycznia 2010 roku” są zagrożeni, wydaje się przesadzone. (Chociaż trzeba przyznać, że użytkownicy korzystający z urządzenia z wersją Androida niezatwierdzoną przez Google są w trudniejszej sytuacji).

Niezależnie od tego, fakt, że Google był świadomy fałszywego identyfikatora od kwietnia, sprawia, że ​​jest bardzo mało prawdopodobne, aby jakakolwiek aplikacja korzystająca z exploita trafiła do Sklepu Play w przyszłości. Podobnie jak w przypadku większości problemów związanych z bezpieczeństwem Androida, najłatwiejszym i najskuteczniejszym sposobem radzenia sobie z fałszywym identyfikatorem jest sprytne podejście do tego, skąd pochodzą aplikacje.

Z pewnością powstrzymanie luki przed wykorzystaniem nie jest tym samym, co całkowite jej wyeliminowanie. W idealnym świecie Google byłby w stanie przesłać bezprzewodową aktualizację na każde urządzenie z Androidem i na zawsze wyeliminować problem, tak jak robi to Apple. Pozwalanie usługom Play i Sklepowi Play działać jako strażnicy to rozwiązanie tymczasowe, ale biorąc pod uwagę rozmiar i rozległy charakter ekosystemu Androida, jest to dość skuteczne.

Nie jest w porządku, że wielu producentów wciąż zbyt długo wysyła ważne aktualizacje zabezpieczeń do urządzeń, szczególnie tych mniej znanych, ponieważ problemy takie jak ten zwykle podkreślają. Ale to jest los lepsze niż nic.

Ważne jest, aby zdawać sobie sprawę z problemów z bezpieczeństwem, zwłaszcza jeśli jesteś zaawansowanym technologicznie użytkownikiem Androida - osobą, do której zwykli ludzie zwracają się o pomoc, gdy coś pójdzie nie tak z telefonem. Ale dobrym pomysłem jest również spojrzenie z perspektywy i pamiętaj, że ważna jest nie tylko luka w zabezpieczeniach, ale także możliwy wektor ataku. W przypadku ekosystemu kontrolowanego przez Google Sklep Play i Usługi Play to dwa potężne narzędzia, za pomocą których Google może radzić sobie ze złośliwym oprogramowaniem.

Więc bądź bezpieczny i mądry. Będziemy na bieżąco informować Cię o wszelkich dalszych informacjach na temat fałszywego identyfikatora od głównych producentów OEM systemu Android.

Aktualizacja: Przedstawił ją rzecznik Google Android Central z następującym stwierdzeniem:

„Doceniamy, że Bluebox odpowiedzialnie zgłasza nam tę lukę; Badania osób trzecich to jeden ze sposobów ulepszania Androida dla użytkowników. Po otrzymaniu wiadomości o tej luce szybko wydaliśmy łatkę, która została rozesłana do partnerów Androida, a także do AOSP. Aplikacje Google Play i Verify zostały również ulepszone, aby chronić użytkowników przed tym problemem. W tej chwili przeskanowaliśmy wszystkie aplikacje przesłane do Google Play, a także te, które ma Google sprawdzone spoza Google Play i nie widzieliśmy żadnych dowodów na próbę wykorzystania tego słaby punkt."

Sony poinformowało nas również, że pracuje nad wypchnięciem poprawki Fałszywy ID do swoich urządzeń.