Danes podjetje za varnostne raziskave BlueBox - isto podjetje, ki je odkrilo tako imenovano Ranljivost Android "Master Key" - je napovedal odkritje napake v načinu, kako Android obravnava osebna potrdila, ki se uporabljajo za podpisovanje aplikacij. Ranljivost, ki jo je BlueBox poimenoval "Lažni ID", omogoča zlonamernim aplikacijam, da se povežejo s potrdili iz zakonitih aplikacij in tako dobijo dostop do stvari, do katerih ne bi smeli imeti dostopa.
Takšne varnostne ranljivosti zvenijo strašljivo in danes smo že videli enega ali dva hiperbolična naslova, saj se je ta zgodba razbila. Kakršna koli napaka, ki aplikacijam omogoča, da počnejo stvari, ki jih ne bi smele, je resen problem. Torej povzemimo, kaj se dogaja na kratko, kaj to pomeni za varnost Android in ali je vredno skrbeti ...
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
Nadgradnja: Ta članek smo posodobili, da odraža Googlovo potrditev, da sta bili Trgovina Play in funkcija »Preveri aplikacije« resnično posodobljeni, da bi odpravili napako Fake ID To pomeni, da ima velika večina aktivnih naprav Google Android že nekaj zaščite pred to težavo, kot je razloženo v nadaljevanju članka. Googlovo izjavo v celoti najdete na koncu te objave.
Težava - Dodgy potrdila
'Lažni ID' izvira iz napake v namestitvenem paketu Android.
Po navedbah BlueBox ranljivost izhaja iz težave v namestitvenem paketu Android, delu operacijskega sistema, ki skrbi za namestitev aplikacij. Namestitveni program paketov očitno ne preveri pristnosti "verig" digitalnih potrdil, kar omogoča zlonamernemu potrdilu, da trdi, da ga je izdala zaupanja vredna stranka. To je težava, ker nekateri digitalni podpisi omogočajo aplikacijam privilegiran dostop do nekaterih funkcij naprave. Na primer s sistemom Android 2.2-4.3 imajo aplikacije s podpisom Adobe poseben dostop do vsebine spletnega pogleda - zahteva za podporo Adobe Flash, ki lahko v primeru zlorabe povzroči težave. Podobno podvajanje podpisa aplikacije, ki ima privilegiran dostop do strojne opreme, ki se uporablja za varna plačila prek NFC, lahko zlonamerni aplikaciji omogoči prestrezanje občutljivih finančnih informacij.
Bolj zaskrbljujoče je, da se lahko zlonamerno potrdilo uporabi tudi za lažno predstavljanje določene oddaljene naprave programska oprema za upravljanje, kot je 3LM, ki jo uporabljajo nekateri proizvajalci in omogoča obsežen nadzor nad a naprave.
Kot piše raziskovalec BlueBox Jeff Foristall:
"Podpisi aplikacij igrajo pomembno vlogo v varnostnem modelu Android. Podpis aplikacije določa, kdo lahko posodobi aplikacijo, katere aplikacije lahko delijo njene [sic] podatke itd. Določena dovoljenja, ki se uporabljajo za dostop do funkcionalnosti, so uporabna samo v programih, ki imajo enak podpis kot ustvarjalec dovoljenj. Še bolj zanimivo pa je, da imajo zelo specifični podpisi v nekaterih primerih posebne privilegije. "
Medtem ko težava Adobe / webview ne vpliva na Android 4.4 (ker webview zdaj temelji na Chromiumu, ki nima enakih kavljev Adobe), osnovna napaka namestitvenega paketa očitno še naprej vpliva na nekatere različice Kit Kat. V izjavi, dana Android Central Google je dejal: "Potem ko smo prejeli vest o tej ranljivosti, smo hitro izdali popravek, ki je bil razdeljen partnerjem Android in Android Open Source Project."
Google pravi, da v divjini ni nobenega dokaza o izkoriščanju "ponarejene identitete".
Glede na to, da BlueBox pravi, da je aprila obvestil Google, je verjetno, da je bil kakšen popravek vključen v Android 4.4.3 in morda nekatere varnostne popravke na osnovi 4.4.2 proizvajalcev originalne opreme. (Glej ta koda se zaveže - hvala Anant Shrivastava.) Začetno testiranje z lastno aplikacijo BlueBox kaže, da ponarejeni ID ne vpliva na evropske LG G3, Samsung Galaxy S5 in HTC One M8. Kontaktirali smo glavne proizvajalce originalne opreme za Android, da bi ugotovili, katere druge naprave so bile posodobljene.
Glede posebnosti Fake ID vuln Forristal pravi, da bo več razkril na konferenci Black Hat v Las Vegasu avgusta. 2. V svoji izjavi je Google dejal, da je pregledal vse aplikacije v svoji Trgovini Play in nekatere, ki so gostovale v drugih trgovinah z aplikacijami, in ni našel dokazov o tem, da je bil exploit uporabljen v resničnem svetu.
Rešitev - odpravljanje napak Android z Google Play
S storitvami Play lahko Google to napako učinkovito kastrira v večini aktivnega ekosistema Android.
Fake ID je resna varnostna ranljivost, ki lahko napadalcu, če je pravilno ciljan, naredi resno škodo. In ker je bila osnovna napaka v AOSP odpravljena šele pred kratkim, se zdi, da je velika večina telefonov Android odprta za napade in bo ostala v bližnji prihodnosti. Kot smo že razpravljali, naloga posodobitve milijarde ali toliko aktivnih telefonov Android je izjemen izziv, "razdrobljenost" pa je težava, ki je vgrajena v Androidovo DNK. Toda Google ima aduta pri reševanju takšnih varnostnih težav - storitve Google Play.
Tako kot storitve Play dodaja nove funkcije in API-je, ne da bi zahteval posodobitev vdelane programske opreme, lahko se uporablja tudi za zapolnitev varnostnih lukenj. Pred časom je Google storitvam Google Play dodal funkcijo »preverjanje aplikacij« kot način za iskanje vseh programov na zlonamerno vsebino, preden so nameščene. Še več, privzeto je vklopljen. V sistemu Android 4.2 in novejših živi v razdelku Nastavitve> Varnost; v starejših različicah ga najdete v nastavitvah Google> Preverjanje aplikacij. Kot je dejal Sundar Pichai Google I / O 2014, 93 odstotkov aktivnih uporabnikov uporablja najnovejšo različico storitev Google Play. Tudi naš starodavni LG Optimus Vu s sistemom Android 4.0.4 Sladoledni sendvič, ima možnost »preverjanje aplikacij« v storitvah Play za zaščito pred zlonamerno programsko opremo.
Google je potrdil Android Central da sta bili funkciji »preverjanje aplikacij« in Google Play posodobljeni za zaščito uporabnikov pred to težavo. Dejansko so takšne varnostne napake na ravni aplikacij točno to, s čimer je zasnovana funkcija "preverjanje aplikacij". To bistveno omejuje vpliv ponarejenega ID-ja na katero koli napravo, ki uporablja posodobljeno različico storitev Google Play - daleč od tega vse Naprave Android so ranljive, zato je Googlov ukrep za odpravljanje ponarejenega ID-ja prek storitev Play učinkovito kastriral, preden je težava sploh postala javna.
Več bomo izvedeli, ko bodo informacije o napaki na voljo na spletnem mestu Black Hat. A ker lahko Googlov preveritelj aplikacij in Trgovina Play lovita aplikacije z uporabo ponarejenega ID-ja, se zdi trditev BlueBoxa, da so ogroženi "vsi uporabniki Androida od januarja 2010", pretirana. (Čeprav je res, da uporabniki, ki uporabljajo napravo z različico Androida, ki ni odobrena s strani Googla, ostanejo v bolj zapleteni situaciji.)
Ne glede na to, da Google že od aprila pozna Fake ID, je zelo malo verjetno, da bo katera od aplikacij, ki uporabljajo exploit, v prihodnosti prišla v Trgovino Play. Kot pri večini varnostnih težav s sistemom Android je tudi najlažji in najučinkovitejši način, kako se spopasti s ponarejenim ID-jem, biti pameten pri tem, od kod dobivate aplikacije.
Zagotovo zaustavitev izkoriščanja ranljivosti ni isto kot popolna odprava. V idealnem svetu bi Google lahko sprožil brezžično posodobitev vseh naprav Android in za vedno odpravil težavo, tako kot to počne Apple. Dovoliti, da Play Services in Play Store delujejo kot vratarji, je rešitev za zaustavitev, vendar je glede na velikost in razprostranjenost ekosistema Android precej učinkovita.
Ni v redu, da si mnogi proizvajalci še vedno predolgo prizadevajo za pomembne varnostne posodobitve naprav, zlasti manj znanih, kot to ponavadi poudarjajo. Ampak to je veliko boljše kot nič.
Pomembno je, da se zavedate varnostnih težav, še posebej, če ste tehnično podkovani uporabnik Androida - takšne osebe, na katero se običajni ljudje obrnejo po pomoč, ko se s telefonom kaj zalomi. Dobro pa je tudi, da stvari ostanejo v perspektivi in ne pozabite, da ni pomembna le ranljivost, temveč tudi možen vektor napada. V primeru Googlovega ekosistema sta Play Store in Play Services dve zmogljivi orodji, s katerimi lahko Google obvladuje zlonamerno programsko opremo.
Zato bodite varni in bodite pametni. Obveščali vas bomo o dodatnih informacijah o ponarejenem ID-ju večjih proizvajalcev originalne opreme za Android.
Nadgradnja: Googlov predstavnik je zagotovil Android Central z naslednjo izjavo:
"Zahvaljujemo se, da nam Bluebox odgovorno poroča o tej ranljivosti; Raziskave tretjih oseb so eden od načinov, kako Android postane močnejši za uporabnike. Ko smo prejeli vest o tej ranljivosti, smo hitro izdali popravek, ki je bil distribuiran partnerjem Androida in AOSP. Za zaščito uporabnikov pred to težavo sta izboljšani tudi aplikaciji Google Play in Verify Apps. Trenutno smo pregledali vse vloge, oddane v Google Play, in tiste, ki jih ima Google pregledano zunaj Googla Play in nismo videli nobenega dokaza o poskusu izkoriščanja tega ranljivost. "
Sony nam je tudi povedal, da dela na tem, da na svoje naprave iztisne ponarejeni ID.
Ste že poslušali Android Central Podcast tega tedna?
Android Central Podcast vam vsak teden prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.
- Naročite se na žepne zasedbe: Zvok
- Naročite se na Spotify: Zvok
- Naročite se v iTunes: Zvok
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.
To so najboljši pasovi za Fitbit Sense in Versa 3.
Skupaj z izdajo Fitbit Sense in Versa 3 je podjetje predstavilo tudi nove neskončne pasove. Izbrali smo najboljše, da vam olajšajo stvari.