'Лажни ид' и безбедност Андроида [ажурирано]

Данас је компанија за истраживање безбедности БлуеБок - иста компанија која је открила такозвану рањивост Андроид-овог „Мастер Кеи-а“ - објавила откриће грешке у начину на који Андроид поступа са потврдама о идентитету која се користе за потписивање апликација. Рањивост коју је БлуеБок назвао "лажни ИД" омогућава злонамерним апликацијама да се придруже цертификатима из легитимних апликација и на тај начин добију приступ стварима којима не би требали имати приступ.

Сигурносне рањивости попут овог звуче застрашујуће, а већ смо видели један или два хиперболичка наслова данас док се ова прича распала. Ипак, свака грешка која омогућава апликацијама да раде ствари за које не треба да представља озбиљан проблем. Дакле, да резимирамо укратко шта се дешава за безбедност Андроид-а и да ли се исплати бринути …

Ажурирање: Ажурирали смо овај чланак како би одражавали Гооглеову потврду да су и Плаи Сторе и „верификујте апликације“ заиста ажурирани како би се адресирала грешка лажног ИД-а. То значи да велика већина активних Гоогле Андроид уређаја већ има одређену заштиту од овог проблема, о чему ће бити речи у чланку касније. Гоогле-ова изјава у целости може се наћи на крају овог поста.

Проблем - Додги сертификати

„Лажни ИД“ произилази из грешке у програму за инсталацију Андроид пакета.

Према БлуеБок-у, рањивост произилази из проблема у програму за инсталацију Андроид пакета, делу ОС-а који управља инсталацијом апликација. Алат за инсталирање пакета очигледно не потврђује исправност „ланаца“ дигиталних потврда, омогућавајући злонамерном потврди да тврди да га је издала поуздана страна. То је проблем јер одређени дигитални потписи пружају апликацијама привилеговани приступ неким функцијама уређаја. На пример, са Андроид 2.2-4.3 апликацијама које носе Адобе-ов потпис доступан је посебан приступ садржају веб прегледа - услов за подршку Адобе Фласх-а који ако се злоупотреби може проузроковати проблеме. Слично томе, лажирање потписа апликације која има привилеговани приступ хардверу који се користи за сигурна плаћања преко НФЦ-а може дозволити да злонамјерна апликација пресретне осјетљиве финансијске информације.

Што је забрињавајуће, злонамерни сертификат се такође може користити за лажно представљање одређеног софтвера за управљање удаљеним уређајима, као што је 3ЛМ, који користе неки произвођачи и омогућава широку контролу над уређајем.

Како пише истраживач БлуеБок-а Јефф Фористалл:

„Потписи апликације играју важну улогу у Андроид-овом безбедносном моделу. Потписом апликације утврђује се ко може да ажурира апликацију, које апликације могу да деле њене податке итд. Одређена одобрења, која се користе за капирање приступа функцијама, могу да користе само апликације које имају исти потпис као аутор дозволе. Интересантније је да се врло специфичним потписима у одређеним случајевима дају посебне привилегије."

Иако проблем Адобе / Вебвиев не утиче на Андроид 4.4 (јер је вебвиев сада заснован на Цхромиуму, који нема исте Адобе куке), погрешка инсталационог пакета очигледно и даље утиче на неке верзије КитКат-а. У изјави достављеној Андроид Централу Гоогле је рекао: „Након што смо добили реч о овој рањивости, брзо смо издали закрпу која је дистрибуирана Андроид партнерима, као и Андроид Опен Соурце пројекту“.

Гоогле каже да нема доказа да се лажна ИД 'експлоатира у дивљини.

С обзиром на то да БлуеБок каже да је о томе обавестио Гоогле у априлу, вероватно ће било која исправка бити укључена у Андроид 4.4.3, и вероватно неке безбедносне закрпе засноване на 4.4.2 од ОЕМ-ова. (Погледајте ову обавезу кода - хвала Ананту Схривастава.) Почетно тестирање властитом апликацијом БлуеБок показује да на лажни ИД не утичу европски ЛГ Г3, Самсунг Галаки С5 и ХТЦ Оне М8. Повезали смо се са главним ОЕМ произвођачима Андроид-а како бисмо сазнали који су други уређаји ажурирани.

Што се тиче специфичности вулгарне лажне ИД, Форристал каже да ће открити више о конференцији Блацк Хат у Лас Вегасу, 2. августа, Гоогле је у изјави рекао да је скенирао све апликације у својој Плаи Сторе, а неке су угостиле у другим продавницама апликација и нису нашли доказе да се експлоатација користи у стварном свету.

Решење - исправљање Андроид грешака помоћу Гоогле Плаи-а

Путем Плаи услуга Гоогле може ефикасно уклонити ову грешку у већини активног Андроид екосистема.

Лажни ИД је озбиљна сигурносна рањивост која би, ако се правилно усмери, могла омогућити нападачу да направи озбиљну штету. А како је основни програмски грешка тек недавно решен у АОСП-у, може се чинити да је велика већина Андроид телефона отворена за напад и тако ће остати у догледној будућности. Као што смо раније расправљали, задатак ажурирања милијарде или толико активних Андроид телефона је огроман изазов, а „фрагментација“ је проблем који је уграђен у Андроид-ову ДНК. Али Гоогле има адут за играње када се бави безбедносним питањима попут ове - Гоогле Плаи услуге.

Као што Плаи Сервицес додаје нове функције и АПИ-је без захтеваног ажурирања управљачког софтвера, он се такође може користити за уметање сигурносних рупа. Пре неко време Гоогле је додао услугу Гоогле Плаи услуге „потврди апликације“ као начин да скенира било коју апликацију са злонамерним садржајем пре него што су инсталиране. Шта више, он је подразумевано укључен. У Андроиду 4.2 и новијој верзији живи под Подешав.> Безбедност; на старијим верзијама пронаћи ћете је у Гоогле подешавањима> Провери апликације. Како је Сундар Пицхаи рекао на Гоогле И / О 2014, 93 посто активних корисника је на најновијој верзији Гоогле Плаи услуга. Чак и наш древни ЛГ Оптимус Ву, који користи Андроид 4.0.4 Ице Цреам Сандвицх, има опцију „провери апликације“ од Плаи Сервицес да би се заштитио од злонамерног софтвера.

Гоогле је потврдио за Андроид Централ да су функција „провери апликације“ и Гоогле Плаи ажурирани како би заштитили кориснике од овог проблема. Заправо, грешке на нивоу апликације попут ове управо су оно што је дизајнирана да се бави функцијом „потврди апликације“. То значајно ограничава утицај лажног ИД-а на било који уређај који користи ажурирану верзију Гоогле Плаи сервиса - далеко од тога да су сви Андроид уређаји рањиви, а Гоогле-ово поступање у вези са лажним ИД-ом путем Плаи сервиса га је ефективно умањило пре него што је издање уопште постало јавно знање.

Сазнат ћемо више када информације о буги постану доступне у Блацк Хат-у. Али пошто Гоогле-ов верификатор апликација и Плаи Сторе могу да ухвате апликације користећи Лажни ИД, БлуеБокова тврдња да су „сви Андроид корисници од јануара 2010“ у опасности изгледа претерано. (Иако је, додуше, корисници који користе уређај са верзијом Андроида који није одобрен од Гоогле-а остају у строжој ситуацији.)

Пустити Плаи Сервицес да се понаша као вратара је решење за заустављање, али је прилично ефикасно.

Без обзира на то, чињеница да је Гоогле упознат са лажним ИД-ом од априла, чини га мало вероватним да ће се било које апликације које користе екплоит пребацити на Плаи Сторе у будућности. Као и већина сигурносних проблема са Андроидом, најлакши и најефикаснији начин да се бавите лажним ИД-ом је бити паметан одакле долазите своје апликације.

Свакако, заустављање рањивости од експлоатације није исто што и елиминирање у потпуности. У идеалном свету Гоогле би могао да изврши надоградњу преко Интернета на сваком Андроид уређају и заувек елиминише проблем, баш као што то чини и Аппле. Пустити Плаи Сервицес и Плаи Сторе да раде као чувари врата су решење за заустављање, али с обзиром на величину и природу Андроид екосистема, прилично је ефикасан.

Не чини се у реду да многи произвођачи предуго трају да би избацили важна безбедносна ажурирања уређаја, посебно мање познатих, јер проблеми попут ове обично истичу. Али много је боље него ништа.

Важно је бити свестан безбедносних проблема, посебно ако сте корисник паметног Андроида који се бави технологијом - онако како се обични људи обраћају за помоћ када нешто није у реду са њиховим телефоном. Такође је добра идеја да се ствари гледају у перспективу и запамтите да није важна само рањивост, већ и могући вектор напада. У случају екосистема под контролом Гоогле-а, Плаи Сторе и Плаи Сервицес су два моћна алата помоћу којих Гоогле може да управља злонамерним софтвером.

Зато будите сигурни и будите паметни. Обавештаваћемо вас о свим даљњим информацијама о лажној идентификацији од главних ОЕМ произвођача.

Ажурирање: Гооглеов портпарол је Андроид Централу доставио следећу изјаву:

„Захваљујемо Блуебок-у који одговорно пријављује ову рањивост; истраживање трећих страна је један од начина да Андроид буде јачи за кориснике. Након што смо добили реч о овој рањивости, брзо смо издали закрпу која је дистрибуирана Андроид партнерима, као и АОСП-у.. Гоогле Плаи и Верифи апликације су такође побољшане да би заштитили кориснике од овог броја. Тренутно смо скенирали све апликације које су послате на Гоогле Плаи као и оне које је Гоогле прегледао изван Гоогле Плаи-а и нисмо видели никакве доказе о покушају искориштавање ове рањивости."

Сони нам је такође рекао да ради на потискивању исправке за лажни ИД на своје уређаје.