Dnes firma zaoberajúca sa bezpečnostným výskumom BlueBox - rovnaká spoločnosť, ktorá odhalila tzv Zraniteľnosť systému Android „Master Key“ - oznámila objavenie chyby v spôsobe, akým Android narába s certifikátmi totožnosti používanými na podpisovanie aplikácií. Zraniteľnosť, ktorú BlueBox nazval „Fake ID“, umožňuje škodlivým aplikáciám spájať sa s certifikátmi legitímnych aplikácií, a tak získať prístup k veciam, ku ktorým by nemali mať prístup.
Zraniteľnosti zabezpečenia, ako je táto, znejú strašidelne a dnes sme už videli jeden alebo dva hyperbolické titulky, pretože tento príbeh bol zlomený. Akákoľvek chyba, ktorá umožňuje aplikáciám robiť veci, ktoré by nemali, je vážnym problémom. Poďme si teda zhrnúť, čo sa v skratke deje, čo to znamená pre bezpečnosť systému Android a či sa oplatí znepokojovať ...
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Aktualizácia: Aktualizovali sme tento článok, aby odrážal potvrdenie spoločnosti Google, že funkcia Obchod Play a „overenie aplikácií“ boli skutočne aktualizované, aby sa tak napravila chyba Fake ID. To znamená, že drvivá väčšina aktívnych zariadení s Androidom Google už má určitú ochranu pred týmto problémom, ako sa o nich hovorí ďalej v článku. Vyhlásenie spoločnosti Google v plnom rozsahu nájdete na konci tohto príspevku.
Problém - riskantné certifikáty
„Falošné ID“ pochádza z chyby v inštalátore balíkov pre Android.
Podľa BlueBoxu zraniteľnosť pramení z problému v inštalátore balíkov Android, časti OS, ktorá sa stará o inštaláciu aplikácií. Inštalátor balíka zjavne nesprávne overuje pravosť reťazcov digitálnych certifikátov, čo umožňuje škodlivému certifikátu tvrdiť, že ho vydal dôveryhodná strana. To je problém, pretože určité digitálne podpisy poskytujú aplikáciám privilegovaný prístup k niektorým funkciám zariadenia. Napríklad s Androidom 2.2-4.3 majú aplikácie nesúce podpis spoločnosti Adobe špeciálny prístup k obsahu webview - požiadavka podpory Adobe Flash, ktorá by v prípade nesprávneho použitia mohla spôsobiť problémy. Rovnako tak môže podvrhnutie podpisu aplikácie, ktorá má privilegovaný prístup k hardvéru použitému na bezpečné platby cez NFC, umožniť škodlivej aplikácii zachytiť citlivé finančné informácie.
Ešte znepokojivejšie je, že škodlivý certifikát by sa mohol použiť aj na odcudzenie identity vzdialeného zariadenia softvér na správu, ako napríklad 3LM, ktorý používajú niektorí výrobcovia a poskytuje rozsiahlu kontrolu nad a zariadenie.
Ako píše výskumník BlueBox Jeff Foristall:
„Podpisy aplikácií hrajú dôležitú úlohu v bezpečnostnom modeli Androidu. Podpis aplikácie určuje, kto môže aplikáciu aktualizovať, ktoré aplikácie môžu zdieľať jej [sic] údaje atď. Určité povolenia, ktoré sa používajú na zabezpečenie prístupu k funkciám, sú použiteľné iba pre aplikácie, ktoré majú rovnaký podpis ako tvorca povolení. Zaujímavejšie je, že veľmi konkrétnym podpisom sa v určitých prípadoch udeľujú zvláštne privilégiá. ““
Zatiaľ čo problém s Adobe / webview nemá vplyv na Android 4.4 (pretože webview je teraz založený na Chromium, ktorý nemá rovnaké háčiky spoločnosti Adobe), zjavná chyba niektorého zo základných inštalácií balíkov naďalej pretrváva verzie Kit Kat. Vo vyhlásení Android Central Google uviedol: „Po prijatí správy o tejto zraniteľnosti sme rýchlo vydali opravu, ktorá bola distribuovaná partnerom Androidu, ako aj projektu Android Open Source.“
Google tvrdí, že neexistujú dôkazy o tom, že by sa vo voľnej prírode využívali falošné ID.
Vzhľadom na to, že BlueBox tvrdí, že spoločnosť Google informovala v apríli, je pravdepodobné, že akákoľvek oprava bude zahrnutá do systému Android 4.4.3 a možno aj niektorých bezpečnostných opráv založených na 4.4.2 od výrobcov OEM. (Pozri tento kód zaviazať - Vďaka Anant Shrivastava.) Počiatočné testovanie s vlastnou aplikáciou BlueBox ukazuje, že európske LG G3, Samsung Galaxy S5 a HTC One M8 nie sú ovplyvnené Fake ID. Oslovili sme hlavných OEM výrobcov Android, aby sme zistili, ktoré ďalšie zariadenia boli aktualizované.
Pokiaľ ide o špecifiká falošného vulkánu ID, Forristal tvrdí, že o ňom prezradí viac na konferencii Black Hat v Las Vegas 8. augusta. 2. Vo svojom vyhlásení spoločnosť Google uviedla, že naskenovala všetky aplikácie vo svojom obchode Play a niektoré hostila v iných obchodoch s aplikáciami a nenašla nijaké dôkazy o tom, že by sa exploit využíval v skutočnom svete.
Riešenie - Oprava chýb systému Android pomocou služby Google Play
Prostredníctvom Služieb Play môže Google túto chybu efektívne kastrovať vo väčšine aktívneho ekosystému Android.
Falošné ID je vážna bezpečnostná chyba, ktorá by pri správnom zameraní mohla útočníkovi spôsobiť vážne škody. A keďže základná chyba bola v AOSP riešená iba nedávno, mohlo by sa zdať, že veľká väčšina telefónov s Androidom je napadnuteľná a v dohľadnej budúcnosti to tak aj zostane. Ako sme už diskutovali, úloha aktualizovať asi miliardu aktívnych telefónov s Androidom je obrovskou výzvou a „fragmentácia“ je problém, ktorý je zakomponovaný do DNA Androidu. Ale Google má tromf, ktorý musí hrať pri riešení bezpečnostných problémov, ako je tento - Služby Google Play.
Rovnako ako služby Play pridáva nové funkcie a API bez nutnosti aktualizácie firmvéru, možno ho tiež použiť na zasunutie bezpečnostných otvorov. Pred časom spoločnosť Google pridala do služieb Google Play funkciu „overiť aplikácie“, ktorá slúži na skenovanie škodlivých obsahov všetkých aplikácií pred ich nainštalovaním. Navyše je predvolene zapnutý. V Androide 4.2 a novšom funguje v časti Nastavenia> Zabezpečenie; v starších verziách ju nájdete v časti Nastavenia Google> Overiť aplikácie. Ako povedal Sundar Pichai na Google I / O 2014, 93 percent aktívnych používateľov používa najnovšiu verziu služieb Google Play. Dokonca aj naše starodávne LG Optimus Vu so systémom Android 4.0.4 Ruská zmrzlina, má možnosť „overiť aplikácie“ v službách Play Services, aby sa chránil pred škodlivým softvérom.
Google potvrdil pre Android Central že funkcia „overiť aplikácie“ a Google Play boli aktualizované, aby chránili používateľov pred týmto problémom. Takéto bezpečnostné chyby na úrovni aplikácie sú v skutočnosti presne to, na čo je navrhnutá funkcia „overiť aplikácie“. To významne obmedzuje dopad Fake ID na akékoľvek zariadenie, na ktorom je spustená aktuálna verzia služieb Google Play všetko Zraniteľné zariadenia so systémom Android, kroky spoločnosti Google zamerané na riešenie falošných identifikácií prostredníctvom služieb Play, ju však účinne kastrovali ešte predtým, ako sa problém vôbec stal verejne známym.
Viac sa dozvieme, keď budú informácie o chybe k dispozícii v Black Hat. Ale keďže overovateľ aplikácií Google a Obchod Play dokážu zachytiť aplikácie pomocou Fake ID, tvrdenie BlueBoxu, že sú ohrození „všetci používatelia systému Android od januára 2010“, sa zdá byť prehnané. (Aj keď je pravda, že používatelia zariadení, ktoré používajú verziu systému Android neschválenú spoločnosťou Google, sú v lepšej situácii.)
Bez ohľadu na to, že Google si je vedomý falošného ID od apríla, je veľmi nepravdepodobné, že by sa nejaké aplikácie využívajúce tento exploit dostali v budúcnosti do Obchodu Play. Rovnako ako väčšina problémov so zabezpečením systému Android, aj najjednoduchší a najefektívnejší spôsob riešenia falošných identifikačných údajov je byť inteligentný v tom, odkiaľ čerpáte svoje aplikácie.
Zastavenie zneužitia zraniteľnosti určite nie je to isté ako úplné odstránenie. V ideálnom svete by spoločnosť Google dokázala presadiť bezdrôtovú aktualizáciu každého zariadenia so systémom Android a problém navždy odstrániť, rovnako ako to robí Apple. Ak necháte Služby Play a Obchod Play pôsobiť ako vrátnici, je to dočasné riešenie, ale vzhľadom na veľkosť a rozľahlú povahu ekosystému Android je to dosť efektívne riešenie.
Nedá sa povedať, že je v poriadku, že mnohým výrobcom trvá príliš dlho, kým vydajú dôležité bezpečnostné aktualizácie zariadení, najmä tých menej známych, pretože problémy ako táto majú tendenciu zdôrazňovať. Ale je to veľa lepšie ako nič.
Je dôležité uvedomiť si bezpečnostné problémy, najmä ak ste technicky zdatní používatelia Androidu - tí, na ktorých sa bežní ľudia obracajú s prosbou o pomoc, keď sa s telefónom niečo pokazí. Je však tiež dobré držať veci v perspektíve a pamätať na to, že nie je dôležitá iba zraniteľnosť, ale aj možný vektor útoku. V prípade ekosystému ovládaného spoločnosťou Google sú Obchod Play a Služby Play dva silné nástroje, pomocou ktorých Google dokáže spracovať malware.
Takže buďte v bezpečí a buďte inteligentní. Budeme vás informovať o akýchkoľvek ďalších informáciách o Fake ID od hlavných výrobcov OEM pre Android.
Aktualizácia: Uviedol hovorca spoločnosti Google Android Central s týmto vyhlásením:
„Oceňujeme, že nám Bluebox zodpovedne oznamuje túto chybu; Výskum tretích strán je jedným zo spôsobov, ako je Android pre používateľov silnejší. Po prijatí správy o tejto zraniteľnosti sme rýchlo vydali opravu, ktorá bola distribuovaná partnerom Androidu, ako aj AOSP. Aplikácie Google Play a Verify boli tiež vylepšené, aby chránili používateľov pred týmto problémom. V tejto chvíli sme skontrolovali všetky aplikácie odoslané do služby Google Play, ako aj všetky aplikácie Google skontrolované mimo Google Play a nevideli sme nijaké dôkazy o pokusu o zneužitie tejto možnosti zraniteľnosť. ““
Spoločnosť Sony nám tiež povedala, že pracuje na zavedení opravy Fake ID do svojich zariadení.
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Toto sú najlepšie pásma pre Fitbit Sense a Versa 3.
Spolu s vydaním Fitbit Sense a Versa 3 spoločnosť predstavila aj nové nekonečné pásma. Vybrali sme tie najlepšie, aby sme vám uľahčili prácu.