Данас је компанија за истраживање безбедности БлуеБок - иста она компанија која је открила тзв Рањивост „главног кључа“ Андроид-а - најавио је откриће грешке у начину на који Андроид рукује цертификатима о идентитету који се користе за потписивање апликација. Рањивост, коју је БлуеБок назвао „Лажни ИД“, дозвољава злонамерним апликацијама да се повежу са сертификатима из легитимних апликација, чиме добијају приступ стварима којима не би требало да имају приступ.
Овакве безбедносне рањивости звуче застрашујуће, а данас смо већ видели један или два хиперболична наслова пошто је ова прича пукла. Ипак, свака грешка која омогућава апликацијама да раде ствари које не би смеле представља озбиљан проблем. Дакле, хајде да сумирамо шта се укратко дешава, шта то значи за Андроид сигурност и да ли вреди бринути ...
Веризон нуди Пикел 4а за само 10 УСД месечно на новим Неограниченим линијама
Ажурирање: Ажурирали смо овај чланак да бисмо одражавали Гооглеову потврду да су и Плаи продавница и функција „верификовања апликација“ заиста ажуриране како би решиле грешку у Лажном ИД-у. То значи да велика већина активних Гоогле Андроид уређаја већ има одређену заштиту од овог проблема, као што је објашњено касније у чланку. Гоогле-ова изјава у целости налази се на крају овог поста.
Проблем - Додги сертификати
„Лажни ИД“ потиче од грешке у програму за инсталирање Андроид пакета.
Према БлуеБок-у, рањивост потиче из проблема у програму за инсталирање Андроид пакета, дела ОС-а који се бави инсталацијом апликација. Програм за инсталирање пакета очигледно не проверава исправно аутентичност „ланаца дигиталних сертификата“, дозвољавајући злонамерном сертификату да тврди да га је издала поуздана страна. То је проблем јер одређени дигитални потписи пружају апликацијама привилегован приступ неким функцијама уређаја. На пример, са Андроид 2.2-4.3, апликације које имају потпис компаније Адобе добијају посебан приступ садржају веб прегледа - захтев за подршку Адобе Фласх-а који би у случају злоупотребе могао да изазове проблеме. Слично томе, фалсификовање потписа апликације која има привилеговани приступ хардверу који се користи за безбедно плаћање преко НФЦ-а може дозволити злонамерној апликацији да пресретне осетљиве финансијске информације.
Још забрињавајуће је да се злонамерни сертификат такође може користити за лажно представљање одређеног удаљеног уређаја управљачки софтвер, као што је 3ЛМ, који користе неки произвођачи и омогућава широку контролу над а уређаја.
Како пише истраживач БлуеБок-а Јефф Фористалл:
„Потписи апликација играју важну улогу у Андроид сигурносном моделу. Потпис апликације утврђује ко може да ажурира апликацију, које апликације могу да деле њене [сиц] податке итд. Одређене дозволе, које се користе за приступ приступу функционалности, могу се користити само у апликацијама које имају исти потпис као и аутор дозвола. Још занимљивије је да се врло одређеним потписима у одређеним случајевима дају посебне привилегије “.
Иако проблем са Адобе / вебвиев не утиче на Андроид 4.4 (јер је вебвиев сада заснован на Цхромиум-у, који нема исте Адобе куке), основна грешка инсталатера пакета очигледно наставља да утиче на неке верзије Кит Кат. У изјави датој на Андроид Централ Гоогле је рекао, „Након што смо добили вест о овој рањивости, брзо смо издали закрпу која је дистрибуирана Андроид партнерима, као и Андроид Опен Соурце Пројецт“.
Гоогле каже да нема доказа да се „лажни ИД“ експлоатише у дивљини.
С обзиром на то да БлуеБок каже да је обавестио Гоогле у априлу, вероватно ће било који поправак бити укључен у Андроид 4.4.3, а можда и неке сигурносне закрпе засноване на 4.4.2 од произвођача оригиналне опреме. (Види овај код се обавезује - Хвала Анант Схривастава.) Прво тестирање са сопственом апликацијом БлуеБок-а показује да лажни ИД не утиче на европски ЛГ Г3, Самсунг Галаки С5 и ХТЦ Оне М8. Контактирали смо главне произвођаче Андроид опреме како бисмо сазнали који су други уређаји ажурирани.
Што се тиче специфичности Факе ИД вулна, Форристал каже да ће открити више о томе на конференцији Блацк Хат у Лас Вегасу, августа. 2. У својој изјави Гоогле је рекао да је скенирао све апликације у својој Плаи продавници, а неке и хостоване у другим продавницама апликација, и није нашао доказе да се екплоит користи у стварном свету.
Решење - Исправљање Андроид грешака помоћу Гоогле Плаи-а
Кроз услуге Плаи, Гоогле може ефикасно да стерилише ову грешку у већини активних Андроид екосистема.
Лажни ИД је озбиљна сигурносна рањивост која нападачу може, ако се правилно циља, омогућити озбиљну штету. А како је основна грешка тек недавно решена у АОСП-у, чини се да је велика већина Андроид телефона отворена за нападе и тако ће остати у догледној будућности. Као што смо раније разговарали, задатак ажурирања милијарду или тако активних Андроид телефона огроман је изазов, а „фрагментација“ је проблем који је уграђен у Андроид-ову ДНК. Али Гоогле има свог адута када се бави безбедносним проблемима попут овог - Гоогле Плаи услуге.
Баш као и услуге Плаи додаје нове функције и АПИ-је без потребе за ажурирањем фирмвера, такође се може користити за затварање сигурносних рупа. Пре извесног времена Гоогле је додао услуге „верификовање апликација“ на Гоогле Плаи услуге као начин да скенира било коју апликацију због злонамерног садржаја пре него што се инсталирају. Штавише, укључено је подразумевано. У Андроиду 4.2 и новијим верзијама живи под Сеттингс> Сецурити; на старијим верзијама ћете га пронаћи у оквиру Гоогле подешавања> Верификација апликација. Као што је рекао Сундар Пицхаи Гоогле И / О 2014, 93 посто активних корисника користи најновију верзију Гоогле Плаи услуга. Чак и наш древни ЛГ Оптимус Ву, са Андроид 4.0.4 Сендвич са сладоледом, има опцију „провери апликације“ из Плаи услуга да би се заштитио од малвера.
Гоогле је потврдио да Андроид Централ да су функција „верификовање апликација“ и Гоогле Плаи ажурирани како би заштитили кориснике од овог проблема. Заправо, овакве грешке на нивоу апликација су управо оно за шта је дизајнирана функција „верификовања апликација“. Ово значајно ограничава утицај лажног ИД-а на било који уређај који покреће најновију верзију Гоогле Плаи услуга - далеко од тога све Андроид уређаји су рањиви, а Гоогле-ова акција за решавање лажног ИД-а путем Плаи услуга ефикасно га је стерилизовала пре него што је проблем уопште постао јавно познат.
Сазнаћемо више када информације о грешци постану доступне на Блацк Хат-у. Али с обзиром на то да Гоогле-ов верификатор апликација и Плаи Сторе могу хватати апликације користећи Факе ИД, тврдња БлуеБок-а да су „сви корисници Андроид-а од јануара 2010. године“ делује претерано. (Иако додуше, корисници који раде на уређају са верзијом Андроид-а коју није одобрио Гоогле остају у стицкинг ситуацији.)
Без обзира на то, чињеница да је Гоогле свестан Факе ИД-а од априла, чини мало вероватном да ће било која апликација која користи екплоит у будућности ући у Плаи Сторе. Као и код већине Андроид безбедносних проблема, најлакши и најефикаснији начин да се носите са лажним ИД-ом је да будете паметни одакле набавите своје апликације.
Сигурно је зауставити рањивост да се експлоатише није исто што и потпуно је уклонити. У идеалном свету Гоогле би био у стању да спроведе бежичну надоградњу на сваки Андроид уређај и заувек елиминише проблем, баш као што то чини Аппле. Омогућавање да Плаи Сервицес и Плаи Сторе делују као чувари врата је зауставно решење, али с обзиром на величину и пространу природу Андроид екосистема, прилично је ефикасно.
Не чини у реду што многим произвођачима и даље треба предуго да гурају важна безбедносна ажурирања на уређаје, посебно оне мање познате, као што оваква питања обично истичу. Али то је пуно боље ишта него ништа.
Важно је бити свестан сигурносних проблема, посебно ако сте технолошки паметни Андроид корисник - оној особи којој се редовни људи обраћају за помоћ када нешто пође по злу са телефоном. Али такође је добра идеја држати ствари у перспективи и имајте на уму да није важна само рањивост, већ и могући вектор напада. У случају екосистема који контролише Гоогле, Плаи Сторе и Плаи Сервицес су два моћна алата помоћу којих Гоогле може да се бави малвером.
Зато будите сигурни и будите паметни. Обавештаваћемо вас о свим даљим информацијама о лажном ИД-у од главних ОЕМ произвођача.
Ажурирање: Гоогле-ов портпарол је пружио Андроид Централ са следећом изјавом:
„Ценимо да нам Блуебок одговорно пријављује ову рањивост; Истраживање независних произвођача један је од начина на који је Андроид ојачан за кориснике. Након што смо добили вест о овој рањивости, брзо смо издали закрпу која је дистрибуирана Андроид партнерима, као и АОСП. Гоогле Плаи и Верифи Аппс су такође побољшани како би заштитили кориснике од овог проблема. Тренутно смо скенирали све пријаве предате на Гоогле Плаи, као и оне које Гоогле има прегледан изван Гоогле Плаи-а и нисмо видели доказе о покушају експлоатације овог рањивост “.
Сони нам је такође рекао да ради на томе да на своје уређаје истера Факе ИД фик.
Јесте ли слушали овонедељни Андроид Централ Подцаст?
Андроид Централ Подцаст вам сваке недеље доноси најновије технолошке вести, анализе и тренутне тренутке, уз познате ко-домаћине и специјалне госте.
- Претплатите се на Поцкет Цастс: Аудио
- Претплатите се на Спотифи: Аудио
- Претплатите се на иТунес: Аудио
Можемо зарадити провизију за куповину користећи наше везе. Сазнајте више.
Ово су најбоље бежичне слушалице које можете купити по свакој цени!
Најбоље бежичне слушалице су удобне, звуче сјајно, не коштају превише и лако се ставе у џеп.
Све што треба да знате о ПС5: Датум изласка, цена и још много тога.
Сони је званично потврдио да ради на ПлаиСтатион 5. Ево свега што до сада знамо о томе.
Нокиа лансира два нова буџетска Андроид Оне телефона испод 200 долара.
Нокиа 2.4 и Нокиа 3.4 су најновији додаци буџетској линији паметних телефона компаније ХМД Глобал. С обзиром да су оба Андроид Оне уређаја, гарантовано ће добити две главне исправке ОС-а и редовна безбедносна ажурирања до три године.
Ово су најбољи бендови за Фитбит Сенсе и Верса 3.
Заједно са издањем Фитбит Сенсе и Верса 3, компанија је такође представила нове бесконачне опсеге. Одабрали смо најбоље како бисмо вам олакшали посао.