Makale

"Sahte Kimlik" ve Android güvenliği [Güncellenmiş]

protection click fraud

Bugün güvenlik araştırma şirketi BlueBox - sözde olayları ortaya çıkaran aynı şirket Android "Ana Anahtar" güvenlik açığı - Android'in uygulamaları imzalamak için kullanılan kimlik sertifikalarını işleme biçiminde bir hatanın keşfini duyurdu. BlueBox'ın "Sahte Kimlik" olarak adlandırdığı güvenlik açığı, kötü amaçlı uygulamaların kendilerini meşru uygulamalardan gelen sertifikalarla ilişkilendirmelerine ve böylece erişmemeleri gereken şeylere erişmelerine olanak tanır.

Bunun gibi güvenlik açıkları kulağa korkutucu geliyor ve bu hikaye bozulduğu için bugün bir veya iki hiperbolik manşet gördük. Yine de, uygulamaların yapmaları gerekmeyen şeyleri yapmalarına izin veren herhangi bir hata ciddi bir sorundur. Şimdi kısaca neler olup bittiğini, Android güvenliği için ne anlama geldiğini ve endişelenmeye değip değmeyeceğini özetleyelim ...

Verizon, Pixel 4a'yı yeni Sınırsız hatlarda ayda sadece 10 ABD doları karşılığında sunuyor

Güncelleme: Bu makaleyi, Google'ın hem Play Store hem de "uygulamaları doğrula" özelliğinin Sahte Kimlik hatasını gidermek için gerçekten güncellendiğine dair onayını yansıtacak şekilde güncelledik. Bu, makalenin sonraki bölümlerinde tartışıldığı gibi, etkin Google Android cihazlarının büyük çoğunluğunun bu soruna karşı zaten bir miktar korumaya sahip olduğu anlamına gelir. Google'ın açıklamasının tamamı bu yazının sonunda bulunabilir.

Sorun - tehlikeli sertifikalar

'Sahte Kimlik', Android paket yükleyicisindeki bir hatadan kaynaklanıyor.

BlueBox'a göre, güvenlik açığı, işletim sisteminin uygulamaların kurulumunu gerçekleştiren bölümü olan Android paket yükleyicisindeki bir sorundan kaynaklanıyor. Paket yükleyicisinin, dijital sertifika "zincirlerinin" gerçekliğini gerektiği gibi doğrulamaması, kötü niyetli bir sertifikanın güvenilir bir taraf tarafından yayınlandığını iddia etmesine izin veriyor. Bu bir sorundur çünkü bazı dijital imzalar, bazı cihaz işlevlerine uygulamalara ayrıcalıklı erişim sağlar. Örneğin, Android 2.2-4.3 ile, Adobe imzasını taşıyan uygulamalara web görünümü içeriğine özel erişim verilir - bu, kötüye kullanıldığında sorunlara neden olabilecek Adobe Flash desteği için bir gerekliliktir. Benzer şekilde, NFC üzerinden güvenli ödemeler için kullanılan donanıma ayrıcalıklı erişime sahip bir uygulamanın imzasını taklit etmek, kötü niyetli bir uygulamanın hassas finansal bilgileri ele geçirmesine izin verebilir.

Daha da endişe verici bir şekilde, kötü amaçlı bir sertifika, belirli uzak aygıtların kimliğine bürünmek için de kullanılabilir. 3LM gibi bazı üreticiler tarafından kullanılan ve üzerinde kapsamlı kontrol sağlayan yönetim yazılımı cihaz.

BlueBox araştırmacısı Jeff Foristall'ın yazdığı gibi:

"Uygulama imzaları Android güvenlik modelinde önemli bir rol oynuyor. Bir uygulamanın imzası, uygulamayı kimin güncelleyebileceğini, hangi uygulamaların [sic] verilerini paylaşabileceğini vb. Belirler. İşlevselliğe erişimi sınırlamak için kullanılan belirli izinler, yalnızca izin oluşturucu ile aynı imzaya sahip uygulamalar tarafından kullanılabilir. Daha da ilginci, çok özel imzalara belirli durumlarda özel ayrıcalıklar veriliyor. "

Adobe / webview sorunu Android 4.4'ü etkilemese de (çünkü web görünümü artık Chromium'a dayanıyor. aynı Adobe kancalarına sahip değil), temel paket yükleyici hatası görünüşe göre bazılarını etkilemeye devam ediyor versiyonları Kit Kat. Verilen bir açıklamada Android Central Google, "Bu güvenlik açığından haberdar olduktan sonra, hızlı bir şekilde Android ortaklarına ve ayrıca Android Açık Kaynak Projesi'ne dağıtılan bir yama yayınladık" dedi.

Google, vahşi ortamda 'Sahte Kimlik'in istismar edildiğine dair hiçbir kanıt olmadığını söylüyor.

BlueBox'ın Nisan ayında Google'ı bilgilendirdiğini söylediği göz önüne alındığında, muhtemelen herhangi bir düzeltmenin Android 4.4.3'e ve muhtemelen OEM'lerden bazı 4.4.2 tabanlı güvenlik yamalarına dahil edilmiş olması muhtemeldir. (Görmek bu kod işleme - Teşekkürler Anant ShrivastavaBlueBox'ın kendi uygulamasıyla yapılan ilk testler, Avrupa LG G3, Samsung Galaxy S5 ve HTC One M8'in Sahte Kimlik'ten etkilenmediğini gösteriyor. Hangi diğer cihazların güncellendiğini öğrenmek için başlıca Android OEM'lerine ulaştık.

Sahte Kimlik vulnunun ayrıntılarına gelince, Forristal, Ağustos 2009'da Las Vegas'taki Black Hat Konferansı'nda daha fazla bilgi vereceğini söyledi. 2. Google yaptığı açıklamada, Play Store'daki tüm uygulamaları taradığını ve bazılarının diğer uygulama mağazalarında barındırıldığını ve istismarın gerçek dünyada kullanıldığına dair hiçbir kanıt bulamadığını söyledi.

Çözüm - Android hatalarını Google Play ile düzeltme

Google, Google Play Hizmetleri aracılığıyla bu hatayı aktif Android ekosisteminin çoğunda etkili bir şekilde kısırlaştırabilir.

Sahte Kimlik, doğru şekilde hedeflendiği takdirde bir saldırganın ciddi hasar vermesine izin verebilecek ciddi bir güvenlik açığıdır. Ve altta yatan hata yakın zamanda AOSP'de ele alındığı için, Android telefonların büyük çoğunluğunun saldırıya açık olduğu ve öngörülebilir gelecekte böyle kalacağı görünebilir. Daha önce tartıştığımız gibi, Bir milyar veya daha fazla aktif Android telefonun güncellenmesini sağlama görevi muazzam bir zorluktur ve "parçalanma" Android'in DNA'sında yerleşik bir sorundur. Ancak Google'ın, bunun gibi güvenlik sorunları ile uğraşırken oynayacağı bir koz vardır - Google Play Hizmetleri.

Play Hizmetleri gibi bir donanım yazılımı güncellemesi gerektirmeden yeni özellikler ve API'ler eklerayrıca güvenlik deliklerini kapatmak için de kullanılabilir. Bir süre önce Google, herhangi bir uygulamayı yüklenmeden önce kötü amaçlı içeriğe karşı taramanın bir yolu olarak Google Play Hizmetlerine bir "uygulamaları doğrula" özelliği ekledi. Dahası, varsayılan olarak etkindir. Android 4.2 ve sonraki sürümlerde Ayarlar> Güvenlik altında bulunur; eski sürümlerde bunu Google Ayarları> Uygulamaları doğrula altında bulabilirsiniz. Sundar Pichai'nin söylediği gibi Google I / O 2014Aktif kullanıcıların yüzde 93'ü Google Play hizmetlerinin en son sürümünü kullanıyor. Android 4.0.4 çalıştıran eski LG Optimus Vu'muz bile Dondurmalı Sandviç, kötü amaçlı yazılımlara karşı koruma sağlamak için Play Hizmetleri'nden "uygulamaları doğrula" seçeneğine sahiptir.

Google onayladı Android Central "uygulamaları doğrula" özelliğinin ve Google Play'in kullanıcıları bu sorundan korumak için güncellendiği. Aslında, bunun gibi uygulama düzeyindeki güvenlik hataları, "uygulamaları doğrula" özelliğinin başa çıkmak için tasarlandığı şeydir. Bu, Sahte Kimliğin Google Play Hizmetlerinin güncel bir sürümünü çalıştıran herhangi bir cihaz üzerindeki etkisini önemli ölçüde sınırlar. herşey Android cihazlar savunmasız olduğundan, Google'ın Play Hizmetleri aracılığıyla Sahte Kimliği ele alma eylemi, sorun daha kamuya açık hale gelmeden önce onu etkili bir şekilde kısalttı.

Black Hat'te hata ile ilgili bilgi mevcut olduğunda daha fazla bilgi edineceğiz. Ancak Google'ın uygulama doğrulayıcısı ve Play Store, Sahte Kimlik kullanarak uygulamaları yakalayabildiğinden, BlueBox'ın "Ocak 2010'dan bu yana tüm Android kullanıcılarının" risk altında olduğu iddiası abartılı görünüyor. (Kuşkusuz, Google tarafından onaylanmayan bir Android sürümüne sahip bir cihazı çalıştıran kullanıcılar daha yapışkan bir durumda kalır.)

Ne olursa olsun, Google'ın Nisan ayından bu yana Sahte Kimlik'ten haberdar olması gerçeği, istismarı kullanan herhangi bir uygulamanın gelecekte bunu Play Store'da gerçekleştirme olasılığını oldukça düşük kılıyor. Çoğu Android güvenlik sorunu gibi, Sahte Kimlik ile başa çıkmanın en kolay ve en etkili yolu, uygulamalarınızı nereden edindiğiniz konusunda akıllıca davranmaktır.

Elbette, bir güvenlik açığının istismar edilmesini durdurmak, onu tamamen ortadan kaldırmakla aynı şey değildir. İdeal bir dünyada Google, tıpkı Apple'ın yaptığı gibi kablosuz bir güncellemeyi her Android cihaza aktarabilir ve sorunu sonsuza kadar ortadan kaldırabilir. Play Services ve Play Store'un bekçi görevi görmesine izin vermek geçici bir çözümdür, ancak Android ekosisteminin boyutu ve genişleyen doğası göz önüne alındığında oldukça etkili bir çözümdür.

Pek çok üreticinin cihazlara, özellikle de daha az bilinenlere önemli güvenlik güncellemelerini göndermesinin hala çok uzun sürmesi, bunun gibi sorunların ön plana çıkma eğiliminde olmasına neden olmaz. Ama bu bir çok hiç yoktan iyidir.

Güvenlik sorunlarının farkında olmak önemlidir, özellikle teknoloji meraklısı bir Android kullanıcısıysanız - normal insanların telefonlarında bir şeyler ters gittiğinde yardım istediği türden kişiler. Ancak olayları perspektif içinde tutmak da iyi bir fikirdir ve önemli olanın sadece güvenlik açığı değil, aynı zamanda olası saldırı vektörü olduğunu da unutmayın. Google tarafından kontrol edilen ekosistem durumunda, Play Store ve Play Hizmetleri, Google'ın kötü amaçlı yazılımlarla başa çıkabileceği iki güçlü araçtır.

Bu yüzden güvende kalın ve akıllı kalın. Başlıca Android OEM'lerinden Sahte Kimlik hakkında daha fazla bilgi ile sizi haberdar edeceğiz.

Güncelleme: Bir Google sözcüsü sağladı Android Central aşağıdaki ifade ile:

"Bu güvenlik açığını bize sorumlu bir şekilde bildiren Bluebox'u takdir ediyoruz; üçüncü taraf araştırması, Android'in kullanıcılar için daha güçlü hale getirilmesinin yollarından biridir. Bu güvenlik açığından haberdar olduktan sonra, hızlı bir şekilde Android ortaklarına ve AOSP'ye dağıtılan bir yama yayınladık. Google Play ve Doğrulama Uygulamaları da kullanıcıları bu sorundan korumak için geliştirildi. Şu anda, Google Play'e gönderilen tüm uygulamaları ve Google'ın sahip olduğu uygulamaları taradık. Google Play dışından incelendi ve bundan yararlanma teşebbüsüne dair hiçbir kanıt görmedik güvenlik açığı. "

Sony ayrıca Sahte Kimlik düzeltmesini cihazlarına yaymaya çalıştığını da söyledi.

Bu haftanın Android Central Podcast'ini dinlediniz mi?

Android Central

Her hafta, Android Central Podcast size en son teknoloji haberlerini, analizleri ve önemli konuları tanıdık yardımcı sunucular ve özel konuklarla birlikte getiriyor.

  • Cep Yayınlarında Abone Ol: Ses
  • Spotify'da abone ol: Ses
  • İTunes'da abone ol: Ses

Bağlantılarımızı kullanarak satın alımlar için komisyon kazanabiliriz. Daha fazla bilgi edin.

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
Kordonu kesmenin zamanı geldi!

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!

En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası
Gelecek nesil

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.

Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü
Yeni Nokias

Nokia, 200 doların altında iki yeni bütçe Android One telefonunu piyasaya sürdü.

Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son eklemeleridir. Her ikisi de Android One cihazı olduklarından, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.

Bunlar Fitbit Sense ve Versa 3 için en iyi gruplar
Yeni ve geliştirilmiş

Bunlar, Fitbit Sense ve Versa 3 için en iyi gruplar.

Fitbit Sense ve Versa 3'ün piyasaya sürülmesiyle birlikte, şirket ayrıca yeni sonsuzluk grupları da tanıttı. İşleri sizin için kolaylaştırmak için en iyisini seçtik.

instagram story viewer