'Fake ID' e segurança do Android [Atualizado]

Hoje, a empresa de pesquisa de segurança BlueBox - a mesma empresa que descobriu o chamado Vulnerabilidade de "chave mestra" do Android - anunciou a descoberta de um bug na maneira como o Android lida com os certificados de identidade usados ​​para assinar aplicativos. A vulnerabilidade, que a BlueBox apelidou de "Fake ID", permite que aplicativos maliciosos se associem a certificados de aplicativos legítimos, obtendo acesso a coisas que eles não deveriam ter acesso.

Vulnerabilidades de segurança como essa parecem assustadoras, e já vimos uma ou duas manchetes hiperbólicas hoje, quando essa história foi publicada. No entanto, qualquer bug que permita aos aplicativos fazer coisas que não deveriam é um problema sério. Então, vamos resumir o que está acontecendo em poucas palavras, o que isso significa para a segurança do Android e se vale a pena se preocupar ...

Atualizar: Atualizamos este artigo para refletir a confirmação do Google de que tanto o recurso Play Store quanto "verificar aplicativos" foram realmente atualizados para resolver o bug do ID falso. Isso significa que a grande maioria dos dispositivos Google Android ativos já tem alguma proteção contra esse problema, conforme discutido posteriormente neste artigo. O depoimento do Google na íntegra pode ser encontrado no final deste post.

O problema - certificados duvidosos

'Fake ID' deriva de um bug no instalador do pacote Android.

De acordo com o BlueBox, a vulnerabilidade decorre de um problema no instalador do pacote Android, a parte do sistema operacional que lida com a instalação de aplicativos. O instalador do pacote aparentemente não verifica corretamente a autenticidade das "cadeias" de certificados digitais, permitindo que um certificado malicioso afirme que foi emitido por uma parte confiável. Isso é um problema porque certas assinaturas digitais fornecem aos aplicativos acesso privilegiado a algumas funções do dispositivo. Com o Android 2.2-4.3, por exemplo, os aplicativos com a assinatura da Adobe recebem acesso especial ao conteúdo da webview - um requisito para o suporte do Adobe Flash que, se usado incorretamente, pode causar problemas. Da mesma forma, falsificar a assinatura de um aplicativo que tem acesso privilegiado ao hardware usado para pagamentos seguros por NFC pode permitir que um aplicativo malicioso intercepte informações financeiras confidenciais.

Mais preocupante, um certificado malicioso também pode ser usado para personificar determinado dispositivo remoto software de gerenciamento, como 3LM, que é usado por alguns fabricantes e concede amplo controle sobre um dispositivo.

Como escreve o pesquisador do BlueBox Jeff Foristall:

"As assinaturas de aplicativos desempenham um papel importante no modelo de segurança do Android. A assinatura de um aplicativo estabelece quem pode atualizar o aplicativo, quais aplicativos podem compartilhar seus dados [sic], etc. Certas permissões, usadas para bloquear o acesso à funcionalidade, só podem ser usadas por aplicativos que tenham a mesma assinatura do criador da permissão. O mais interessante é que assinaturas muito específicas recebem privilégios especiais em certos casos. "

Embora o problema do Adobe / webview não afete o Android 4.4 (porque o webview agora é baseado no Chromium, que não tem os mesmos ganchos da Adobe), o bug subjacente do instalador do pacote aparentemente continua a afetar alguns versões de KitKat. Em uma declaração dada a Android Central O Google disse: "Depois de receber a notícia sobre esta vulnerabilidade, rapidamente lançamos um patch que foi distribuído para parceiros Android, bem como para o Android Open Source Project."

O Google diz que não há evidências de que o 'Fake ID' está sendo explorado em liberdade.

Dado que a BlueBox disse ter informado o Google em abril, é provável que qualquer correção tenha sido incluída no Android 4.4.3, e possivelmente alguns patches de segurança baseados no 4.4.2 de OEMs. (Vejo este código confirma - obrigado Anant Shrivastava.) Os testes iniciais com o próprio aplicativo da BlueBox mostram que o LG G3 europeu, o Samsung Galaxy S5 e o HTC One M8 não são afetados pelo Fake ID. Entramos em contato com os principais OEMs do Android para descobrir quais outros dispositivos foram atualizados.

Quanto aos detalhes do vuln Fake ID, Forristal diz que vai revelar mais sobre a Black Hat Conference em Las Vegas em agosto 2. Em seu comunicado, o Google disse que examinou todos os aplicativos em sua Play Store, e alguns hospedados em outras lojas de aplicativos, e não encontrou evidências de que o exploit estava sendo usado no mundo real.

A solução - corrigindo bugs do Android com o Google Play

Por meio do Play Services, o Google pode neutralizar esse bug com eficácia na maior parte do ecossistema Android ativo.

A ID falsa é uma vulnerabilidade de segurança séria que, se direcionada corretamente, pode permitir que um invasor cause sérios danos. E como o bug subjacente foi corrigido apenas recentemente no AOSP, pode parecer que a grande maioria dos telefones Android está aberta a ataques e permanecerá assim no futuro previsível. Como discutimos antes, a tarefa de atualizar um bilhão ou mais de telefones Android ativos é um enorme desafio, e a "fragmentação" é um problema que está embutido no DNA do Android. Mas o Google tem um trunfo a jogar ao lidar com questões de segurança como esta - o Google Play Services.

Apenas como serviços de jogo adiciona novos recursos e APIs sem exigir uma atualização de firmware, também pode ser usado para tampar brechas de segurança. Algum tempo atrás, o Google adicionou um recurso de "verificar aplicativos" ao Google Play Services como uma forma de verificar se há conteúdo malicioso em qualquer aplicativo antes de ser instalado. Além do mais, ele está ativado por padrão. No Android 4.2 e superior, ele reside em Configurações> Segurança; em versões mais antigas, você o encontrará em Configurações do Google> Verificar aplicativos. Como Sundar Pichai disse em Google I / O 2014, 93 por cento dos usuários ativos estão na versão mais recente do Google Play Services. Até o nosso antigo LG Optimus Vu, rodando Android 4.0.4 Sanduíche de sorvete, tem a opção "verificar aplicativos" do Play Services para proteger contra malware.

O Google confirmou para Android Central que o recurso "verificar aplicativos" e o Google Play foram atualizados para proteger os usuários contra esse problema. Na verdade, bugs de segurança no nível do aplicativo como esse são exatamente o que o recurso "verificar aplicativos" foi projetado para lidar. Isso limita significativamente o impacto do Fake ID em qualquer dispositivo que execute uma versão atualizada do Google Play Services - longe de todos Como os dispositivos Android estão vulneráveis, a ação do Google de lidar com o Fake ID por meio do Play Services efetivamente neutralizou-o antes que o problema se tornasse de conhecimento público.

Saberemos mais quando informações sobre o bug estiverem disponíveis na Black Hat. Mas, uma vez que o verificador de aplicativos do Google e a Play Store podem detectar aplicativos usando a ID Fake, a afirmação do BlueBox de que "todos os usuários do Android desde janeiro de 2010" estão em risco parece exagerada. (Embora reconhecidamente, os usuários que executam um dispositivo com uma versão do Android não aprovada pelo Google ficam em uma situação mais difícil.)

Independentemente disso, o fato de o Google estar ciente do Fake ID desde abril torna altamente improvável que qualquer aplicativo que use o exploit chegue à Play Store no futuro. Como a maioria dos problemas de segurança do Android, a maneira mais fácil e eficaz de lidar com o Fake ID é saber de onde você obtém seus aplicativos.

Com certeza, impedir que uma vulnerabilidade seja explorada não é o mesmo que eliminá-la por completo. Em um mundo ideal, o Google seria capaz de enviar uma atualização remota para cada dispositivo Android e eliminar o problema para sempre, assim como a Apple faz. Deixar o Play Services e a Play Store atuarem como guardiões é uma solução temporária, mas, dado o tamanho e a natureza extensa do ecossistema Android, é bastante eficaz.

Não é normal que muitos fabricantes ainda demorem muito para enviar atualizações de segurança importantes para os dispositivos, especialmente os menos conhecidos, como problemas como este tendem a se destacar. Mas é um muitos melhor que nada.

É importante estar ciente dos problemas de segurança, especialmente se você for um usuário Android com experiência em tecnologia - o tipo de pessoa que as pessoas comuns recorrem para obter ajuda quando algo dá errado com o telefone. Mas também é uma boa ideia manter as coisas em perspectiva e lembrar que não é apenas a vulnerabilidade que é importante, mas também o possível vetor de ataque. No caso do ecossistema controlado pelo Google, Play Store e Play Services são duas ferramentas poderosas com as quais o Google pode lidar com malware.

Portanto, fique seguro e seja inteligente. Manteremos você informado com qualquer informação adicional sobre o Fake ID dos principais OEMs Android.

Atualizar: Um porta-voz do Google forneceu Android Central com a seguinte declaração:

"Agradecemos a Bluebox nos relatar responsavelmente essa vulnerabilidade; a pesquisa de terceiros é uma das maneiras pelas quais o Android se torna mais forte para os usuários. Depois de receber a notícia dessa vulnerabilidade, rapidamente lançamos um patch que foi distribuído para parceiros Android, bem como para AOSP. Os aplicativos Google Play e Verify também foram aprimorados para proteger os usuários contra esse problema. No momento, verificamos todos os aplicativos enviados ao Google Play, bem como aqueles que o Google revisado de fora do Google Play e não vimos nenhuma evidência de tentativa de exploração deste vulnerabilidade."

A Sony também nos disse que está trabalhando para lançar a correção do Fake ID em seus dispositivos.