'Hamis azonosító' és android biztonság [frissítve]

A mai napon a BlueBox biztonsági kutató cég - ugyanaz a cég, amely felfedte az úgynevezett Android "Master Key" sebezhetőséget - bejelentette, hogy felfedezték egy hibát azzal kapcsolatban, ahogyan az Android kezeli az alkalmazások aláírására szolgáló azonosító tanúsítványokat. A BlueBox "hamis azonosítónak" nevezhető biztonsági rése lehetővé teszi, hogy a rosszindulatú alkalmazások társítsák magukat a legitim alkalmazások tanúsítványaival, így hozzáférve azokhoz a dolgokhoz, amelyekhez nem férhetnek hozzá.

A biztonsági rések ilyen félelmetesnek tűnnek, és ma már láthattunk egy vagy két hiperbolikus címsort, mivel ez a történet megtört. Mindazonáltal minden olyan hiba, amely lehetővé teszi az alkalmazásoknak olyan dolgok elvégzését, amelyekre nem volna szükségük, komoly probléma. Tehát összegezzük, mi folyik dióhéjban, mit jelent az Android biztonsága, és érdemes-e aggódni …

Frissítés: Frissítettük ezt a cikket, hogy tükrözze a Google megerősítését, miszerint mind a Play Áruház, mind az „Alkalmazások ellenőrzése” funkciót valóban frissítették a hamis azonosító hibájának megoldására. Ez azt jelenti, hogy az aktív Google Android-eszközök nagy többsége már rendelkezik bizonyos védelmet a kérdéstől, amint azt a cikk később tárgyalja. A Google teljes nyilatkozata teljes e cikk végén található.

A probléma - Dodgy tanúsítványok

A „hamis azonosító” az Android csomag telepítőjének hibájából származik.

A BlueBox szerint a sérülékenység az Android csomagtelepítőjében jelentkezik, amely az operációs rendszer azon része, amely kezeli az alkalmazások telepítését. A csomagtelepítő nyilvánvalóan nem ellenőrzi megfelelően a digitális tanúsítvány-láncok hitelességét, lehetővé téve egy rosszindulatú tanúsítvánnyal, hogy azt állítsa, hogy megbízható fél állította ki. Ez problémát jelent, mivel bizonyos digitális aláírások az alkalmazások számára privilegizált hozzáférést biztosítanak bizonyos eszközfunkciókhoz. Például az Android 2.2-4.3 esetén az Adobe aláírással rendelkező alkalmazások különleges hozzáférést kapnak a webes nézet tartalmához - ez az Adobe Flash támogatás követelménye, amely helytelen használat esetén problémákat okozhat. Hasonlóképpen, ha olyan alkalmazás aláírását hamisítja meg, amely kivételesen fér hozzá az NFC-n keresztüli biztonságos fizetéshez használt hardverhez, a rosszindulatú alkalmazás elhallgathatja az érzékeny pénzügyi információkat.

Ennél is aggasztóbb, hogy egy rosszindulatú tanúsítvány felhasználható bizonyos távoli eszközkezelő szoftverek - például a 3LM - megszemélyesítésére is, amelyet egyes gyártók használnak, és amely széles körű irányítást biztosít az eszköz felett.

Ahogy a BlueBox kutatója, Jeff Foristall írja:

"Az alkalmazás-aláírások fontos szerepet játszanak az Android biztonsági modelljében. Az alkalmazás aláírása meghatározza, hogy ki tudja frissíteni az alkalmazást, hogy mely alkalmazások megoszthatják annak adatait, stb. A funkcionalitáshoz való hozzáféréshez használt bizonyos engedélyeket csak azok az alkalmazások használhatják, amelyek rendelkeznek a ugyanaz az aláírás, mint az engedélykészítőnek. Érdekesebb, hogy a nagyon specifikus aláírások bizonyos esetekben különleges kiváltságokat kapnak."

Noha az Adobe / webview kérdés nem érinti az Android 4.4-et (mivel a webes nézet most a Chromiumon alapul, amely nem azonos Adobe hook-okkal rendelkezik), az alapul szolgáló csomagtelepítő hiba nyilvánvalóan továbbra is érinti a KitKat egyes verzióit. Az Android Közép- Európának adott nyilatkozatában a Google azt mondta: "Miután megkaptuk a biztonsági résről szóló értesítést, gyorsan kiadtunk egy javítást, amelyet az Android partnereknek, valamint az Android nyílt forráskódú projektnek terjesztettünk."

A Google szerint nincs bizonyíték arra, hogy a „hamis személyazonosító igazolványt” vadonban hasznosítják.

Tekintettel arra, hogy a BlueBox szerint áprilisban tájékoztatta a Google-t, valószínűleg minden javítást beépítik az Android 4.4.3-ba és esetleg néhány, az eredeti gyártóktól származó, 4.4.2-alapú biztonsági javításba. (Lásd ezt a kódkötelezettséget - köszönet Anant Shrivastava-nak.) A BlueBox saját alkalmazásával végzett kezdeti tesztelés azt mutatja, hogy az LG LG G3, a Samsung Galaxy S5 és a HTC One M8 nem érinti a hamis azonosítót. Felhívtuk a kapcsolatot az Android legnagyobb gyártóival, hogy megtudjuk, mely egyéb eszközök vannak frissítve.

Ami a Fake ID vuln sajátosságait illeti, a Forristal azt állítja, hogy többet fog közzétenni a augusztus 2-i Las Vegas-i Black Hat konferencián. Nyilatkozatában a Google kijelentette, hogy a Play Áruház összes alkalmazását átvizsgálta, és néhányan más alkalmazásüzletekben, és nem talált bizonyítékot arra, hogy a kizsákmányolást a valós világban használják volna fel.

A megoldás - Android-hibák kijavítása a Google Playen

A Play Services segítségével a Google hatékonyan megspórolhatja ezt a hibát az aktív Android ökoszisztéma legtöbb részén.

A hamis azonosító súlyos biztonsági rést jelent, amely megfelelő megcélozással lehetővé teszi a támadó számára, hogy komoly károkat okozhasson. Mivel a mögöttes hibát az AOSP-ben csak nemrég kezelték, úgy tűnik, hogy az Android telefonok nagy többsége nyitott támadásra, és a belátható jövőben is így marad. Mint már korábban megvitattuk, az a milliárd aktív Android telefon frissítésének feladata óriási kihívás, és a "széttöredezettség" egy olyan probléma, amely beépül az Android DNS-ébe. De a Googlenak ütközőját kell játszania, amikor ilyen biztonsági kérdésekkel foglalkozik - a Google Play szolgáltatásokkal.

Csakúgy, mint a Play Services új funkciókat és API-kat ad hozzá firmware-frissítés nélkül, a biztonsági lyukak kiküszöbölésére is használható. A Google valamivel ezelőtt hozzátette az „alkalmazások ellenőrzése” funkciót a Google Play Szolgáltatásokhoz annak érdekében, hogy az alkalmazások telepítése előtt megvizsgálják a rosszindulatú tartalmakat. Sőt, alapértelmezés szerint be van kapcsolva. Az Android 4.2-es és újabb verziói alatt a Beállítások> Biztonság; régebbi verziókban a Google Beállítások> Alkalmazások ellenőrzése alatt találja meg. Amint Sundar Pichai a Google I / O 2014-ben elmondta, az aktív felhasználók 93% -a használja a Google Play szolgáltatások legújabb verzióját. Még az ősi LG Optimus Vu verzión is, amely Android 4.0.4 Ice Cream Sandwich-t futtat, rendelkezik a Play Services „alkalmazások ellenőrzése” opciójával, hogy megvédje a rosszindulatú programokat.

A Google megerősítette az Android Central számára, hogy az „alkalmazások ellenőrzése” funkció és a Google Play frissítésre került, hogy megvédjék a felhasználókat a problémától. Valójában az ilyen alkalmazásszintű biztonsági hibák pontosan azok, amelyeket az „alkalmazások ellenőrzése” funkció kezelésére terveztek. Ez jelentősen korlátozza a hamis azonosító hatását minden olyan eszközre, amely a Google Play Szolgáltatások legfrissebb verzióját futtatja - messze minden Android-készülékektől, amelyek sebezhetőek, a Google hamis azonosítóját a Play Szolgáltatásokon keresztül kezelő intézkedése hatékonyan ellensúlyozta azt, mielőtt a kérdés még nyilvánosságra került. tudás.

Többet tudunk meg, ha a hibával kapcsolatos információk elérhetők lesznek a Black Hat oldalon. Mivel azonban a Google alkalmazás-hitelesítője és a Play Áruház hamis azonosítóval képes elkapni az alkalmazásokat, túlzottnak tűnik a BlueBox azon állítása, miszerint "minden Android-felhasználó 2010 januárja óta veszélyben van". (Annak ellenére, hogy a felhasználók nem Google által jóváhagyott Android-verziót futtató készülékeket ragaszkodóbb helyzetben vannak.)

Az, hogy a Play Services kapukapcsolatként működik, akadálymentesítő megoldás, de ez elég hatékony.

Függetlenül attól, hogy a Google április óta ismeri a hamis azonosítót, nagyon valószínűtlen, hogy a kizsákmányolást használó alkalmazások a jövőben bekerüljenek a Play Áruházba. A legtöbb Android biztonsági kérdéshez hasonlóan, a hamis azonosítóval való legegyszerűbb és leghatékonyabb módszer az, ha okosan dönt arról, hogy hol szerezhet alkalmazásokat.

Bizonyos, hogy a sebezhetőség kizsákmányolása nem ugyanaz, mint annak teljes megszüntetése. Egy ideális világban a Google képes lenne vezeték nélküli frissítést telepíteni minden Android-eszközre, és véglegesen kiküszöbölheti a problémát, akárcsak az Apple. A Play Services és a Play Store kapuőrként történő működésének megakadályozása megoldás, de tekintettel az Android ökoszisztéma méretére és szétszórt jellegére, ez elég hatékony.

Nem teszi rendbe, hogy sok gyártó még mindig túl sok időt vesz igénybe az eszközök, különösen a kevésbé ismert eszközök fontos biztonsági frissítéseinek bevezetésekor, mivel az ilyen kérdések általában rámutatnak. De sokkal jobb, mint semmi.

Fontos, hogy tisztában legyen a biztonsági problémákkal, különösen, ha Ön hozzáértő Android-felhasználó - az a fajta ember, akinek a szokásos emberek segítségért fordulnak, amikor valami rosszul fordul a telefonjukkal. De az is jó ötlet, ha a dolgokat perspektívan tartjuk, és ne feledjük, hogy nem csak a sebezhetőség fontos, hanem a lehetséges támadási vektor is. A Google által irányított ökoszisztéma esetében a Play Áruház és a Play Szolgáltatások két hatékony eszköz, amellyel a Google képes kezelni a rosszindulatú programokat.

Tehát maradj biztonságban és maradj okos. A nagy Android-gyártók eredeti hamis azonosítójával kapcsolatos további információkat közzéteszünk önnel.

Frissítés: A Google szóvivője az Android Central számára a következő nyilatkozatot közölte:

"Nagyra értékeljük, hogy a Bluebox felelősségteljesen jelent meg nekünk ezt a sebezhetőséget. Harmadik fél által végzett kutatás az egyik módja annak, hogy az Android erősebbé váljon a felhasználók számára. Miután megkaptuk a biztonsági résről szóló értesítést, gyorsan kiadtunk egy javítást, amelyet az Android partnereknek és az AOSP-nek osztottak meg.. A Google Play és a Verified Apps fejlesztése is javult, hogy megvédjük a felhasználókat a problémától. Jelenleg átvizsgáltuk az összes alkalmazást, amelyet a Google Playnek benyújtottak, valamint azokat, amelyeket a Google felülvizsgált a Google Play kívülről, és nem találtunk bizonyítékot arra, hogy e sebezhetőség kihasználása ".

A Sony azt is elmondta nekünk, hogy azon dolgozik, hogy a készüléken kihúzza a Fake ID javítást.