„Fałszywy identyfikator” i zabezpieczenia Androida [zaktualizowane]

Dzisiaj firma BlueBox zajmująca się badaniami bezpieczeństwa - ta sama firma, która odkryła tak zwaną lukę „Master Key” Androida - ogłosiła odkrycie błędu w sposobie, w jaki Android obsługuje certyfikaty tożsamości używane do podpisywania aplikacji. Luka, którą BlueBox nazwał „Fake ID”, umożliwia złośliwym aplikacjom powiązanie się z certyfikatami z legalnych aplikacji, uzyskując w ten sposób dostęp do rzeczy, do których nie powinni mieć dostępu.

Luki w zabezpieczeniach, takie jak ta, brzmią przerażająco, i widzieliśmy już jeden lub dwa nagłówki hiperboliczne, gdy ta historia się rozpadła. Niemniej jednak każdy błąd, który pozwala aplikacjom robić rzeczy, których nie powinny, jest poważnym problemem. Podsumujmy więc, co się dzieje w pigułce, co to oznacza dla bezpieczeństwa Androida i czy warto się martwić …

Aktualizacja: Zaktualizowaliśmy ten artykuł, aby odzwierciedlić potwierdzenie od Google, że zarówno Sklep Play, jak i funkcja „weryfikuj aplikacje” rzeczywiście zostały zaktualizowane w celu usunięcia błędu Fake ID. Oznacza to, że zdecydowana większość aktywnych urządzeń z Androidem Google ma już pewną ochronę przed tym problemem, jak omówiono w dalszej części tego artykułu. Pełne oświadczenie Google można znaleźć na końcu tego postu.

Problem - niepewne certyfikaty

„Fałszywy identyfikator” wynika z błędu w instalatorze pakietów Androida.

Według BlueBox, luka wynika z problemu w instalatorze pakietów Androida, części systemu operacyjnego, która obsługuje instalację aplikacji. Instalator pakietów najwyraźniej nie weryfikuje prawidłowo „łańcuchów” certyfikatów cyfrowych, pozwalając złośliwemu certyfikatowi twierdzić, że został wydany przez zaufaną stronę. Jest to problem, ponieważ niektóre podpisy cyfrowe zapewniają aplikacjom uprzywilejowany dostęp do niektórych funkcji urządzenia. Na przykład w Androidzie 2.2-4.3 aplikacje opatrzone podpisem Adobe mają specjalny dostęp do treści do przeglądania stron internetowych - jest to wymagane przez obsługę Adobe Flash, która w przypadku niewłaściwego użycia może powodować problemy. Podobnie sfałszowanie podpisu aplikacji, która ma uprzywilejowany dostęp do sprzętu używanego do bezpiecznych płatności przez NFC, może pozwolić złośliwej aplikacji na przechwycenie poufnych informacji finansowych.

Co bardziej niepokojące, złośliwy certyfikat może być również użyty do podszywania się pod pewne oprogramowanie do zdalnego zarządzania urządzeniami, takie jak 3LM, które jest używane przez niektórych producentów i zapewnia szeroką kontrolę nad urządzeniem.

Jak pisze Jeff Foristall, badacz BlueBox:

„Podpisy aplikacji odgrywają ważną rolę w modelu bezpieczeństwa Androida. Podpis aplikacji określa, kto może aktualizować aplikację, jakie aplikacje mogą udostępniać jej dane itp. Pewne uprawnienia, używane do uzyskania dostępu do funkcji, są dostępne tylko dla aplikacji, które mają ten sam podpis, co twórca uprawnień. Co ciekawe, bardzo konkretne podpisy mają specjalne uprawnienia w niektórych przypadkach ”.

Chociaż problem Adobe / webview nie wpływa na Androida 4.4 (ponieważ webview jest teraz oparty na Chromium, który nie ma tych samych haków Adobe), błąd instalatora pakietu widocznie nadal wpływa na niektóre wersje KitKat. W oświadczeniu przekazanym Android Central Google powiedział: „Po otrzymaniu wiadomości o tej usterce szybko wydaliśmy łatkę, która została rozesłana do partnerów Androida, a także do projektu Android Open Source”.

Google twierdzi, że nie ma dowodów na to, że „Fake ID” jest wykorzystywane na wolności.

Biorąc pod uwagę, że BlueBox twierdzi, że poinformował Google w kwietniu, jest prawdopodobne, że wszelkie poprawki zostaną uwzględnione w Androidzie 4.4.3, a być może niektóre poprawki bezpieczeństwa OEMs oparte na 4.4.2. (Zobacz ten kod zatwierdzenia - dzięki Anant Shrivastava.) Wstępne testy z własną aplikacją BlueBox pokazują, że fałszywy identyfikator nie ma wpływu na europejskie LG G3, Samsung Galaxy S5 i HTC One M8. Skontaktowaliśmy się z głównymi producentami OEM Androida, aby dowiedzieć się, które inne urządzenia zostały zaktualizowane.

Jeśli chodzi o specyfikę fałszywego identyfikatora, Forristal mówi, że ujawni więcej na konferencji Black Hat w Las Vegas 2 sierpnia. W swoim oświadczeniu Google powiedział, że przeskanował wszystkie aplikacje w Sklepie Play, a niektóre hostowały w innych sklepach z aplikacjami i nie znalazłem dowodów na to, że exploit był wykorzystywany w prawdziwym świecie.

Rozwiązanie - Naprawianie błędów Androida w Google Play

Dzięki Usługom Play Google może skutecznie wykończyć ten błąd w większości aktywnych ekosystemów Androida.

Fałszywy identyfikator to poważna luka w zabezpieczeniach, która przy odpowiednim ukierunkowaniu może pozwolić osobie atakującej na poważne obrażenia. Ponieważ podstawowy błąd został niedawno rozwiązany w AOSP, może się wydawać, że znaczna większość telefonów z Androidem jest otwarta na atak i pozostanie taka w najbliższej przyszłości. Jak już mówiliśmy, zadanie aktualizacji miliarda aktywnych telefonów z Androidem jest ogromnym wyzwaniem, a „fragmentacja” to problem wbudowany w DNA Androida. Ale Google ma do zaoferowania atut przy rozwiązywaniu takich problemów bezpieczeństwa - Google Play Services.

Podobnie jak Play Services dodaje nowe funkcje i interfejsy API bez konieczności aktualizacji oprogramowania układowego, może także służyć do wypełniania luk bezpieczeństwa. Jakiś czas temu Google dodało funkcję „weryfikuj aplikacje” do usług Google Play jako sposób na skanowanie aplikacji w poszukiwaniu złośliwych treści przed ich instalacją. Co więcej, jest domyślnie włączony. W Androidzie 4.2 i nowszych funkcjonuje pod Ustawienia> Bezpieczeństwo; w starszych wersjach znajdziesz go w Ustawieniach Google> Weryfikuj aplikacje. Jak powiedział Sundar Pichai podczas Google I / O 2014, 93 procent aktywnych użytkowników korzysta z najnowszej wersji usług Google Play. Nawet nasz starożytny LG Optimus Vu z Androidem 4.0.4 Ice Cream Sandwich ma opcję „weryfikacji aplikacji” z usług Play, aby chronić się przed złośliwym oprogramowaniem.

Google potwierdziło Android Central, że funkcja „weryfikuj aplikacje” i Google Play zostały zaktualizowane, aby chronić użytkowników przed tym problemem. Rzeczywiście, takie błędy bezpieczeństwa na poziomie aplikacji są dokładnie tym, z czym ma poradzić sobie funkcja „weryfikuj aplikacje”. Ogranicza to znacznie wpływ fałszywego identyfikatora na dowolne urządzenie z aktualną wersją usług Google Play - z dala od wszystkich urządzeń z Androidem, działania Google mające na celu usunięcie fałszywego identyfikatora za pośrednictwem usług Play skutecznie go zneutralizowały, zanim problem został upubliczniony wiedza, umiejętności.

Dowiemy się więcej, gdy informacje o błędzie staną się dostępne w Black Hat. Ale ponieważ weryfikator aplikacji Google i Sklep Play mogą łapać aplikacje przy użyciu fałszywego identyfikatora, twierdzenie BlueBox, że „wszyscy użytkownicy Androida od stycznia 2010 r.” Są zagrożeni, wydaje się przesadzone. (Chociaż wprawdzie użytkownicy urządzeń z systemem Android, który nie jest zatwierdzony przez Google, pozostają w trudniejszej sytuacji).

Pozwalanie usługom Play na działanie strażnika to rozwiązanie zatrzymujące, ale jest dość skuteczne.

Niezależnie od tego, że Google wie o fałszywym identyfikatorze od kwietnia, jest bardzo mało prawdopodobne, aby jakiekolwiek aplikacje wykorzystujące ten exploit trafiły do ​​Sklepu Play w przyszłości. Podobnie jak większość problemów związanych z bezpieczeństwem Androida, najłatwiejszym i najskuteczniejszym sposobem radzenia sobie z fałszywym identyfikatorem jest sprytne ustalenie, skąd pochodzą Twoje aplikacje.

Z pewnością powstrzymanie przed wykorzystaniem luki nie jest tym samym, co całkowite jej wyeliminowanie. W idealnym świecie Google byłby w stanie przesłać bezprzewodową aktualizację na każde urządzenie z Androidem i wyeliminować problem na zawsze, podobnie jak Apple. Pozwalanie usługom Play i Play Store działać jako strażnicy to rozwiązanie zatrzymujące, ale biorąc pod uwagę rozmiar i rozległy charakter ekosystemu Androida, jest to dość skuteczne.

Nie jest w porządku, że wielu producentów wciąż zbyt długo wypycha ważne aktualizacje zabezpieczeń urządzeń, szczególnie tych mniej znanych, ponieważ takie problemy zwykle się ujawniają. Ale to o wiele lepsze niż nic.

Ważne jest, aby zdawać sobie sprawę z problemów związanych z bezpieczeństwem, zwłaszcza jeśli jesteś zaawansowanym technologicznie użytkownikiem Androida - osobą, do której zwykli ludzie zwracają się o pomoc, gdy coś pójdzie nie tak z telefonem. Ale dobrym pomysłem jest także utrzymywanie perspektywy i pamiętaj, że ważna jest nie tylko podatność, ale także możliwy wektor ataku. W przypadku ekosystemu kontrolowanego przez Google Sklep Play i Usługi Play to dwa potężne narzędzia, za pomocą których Google może obsługiwać złośliwe oprogramowanie.

Bądź więc bezpieczny i inteligentny. Będziemy Cię informować o wszelkich dalszych informacjach o fałszywym identyfikatorze od głównych producentów OEM Androida.

Aktualizacja: rzecznik Google przekazał Android Central następujące oświadczenie:

„Doceniamy Bluebox odpowiedzialnie zgłaszający nam tę lukę; zewnętrzne badania to jeden ze sposobów, w jaki Android jest wzmocniony dla użytkowników. Po otrzymaniu informacji o tej luce szybko opublikowaliśmy łatkę, która została rozpowszechniona wśród partnerów Androida, a także AOSP Ulepszono również aplikacje Google Play i Verify, aby chronić użytkowników przed tym problemem. W tej chwili przeskanowaliśmy wszystkie aplikacje przesłane do Google Play, a także te, które Google sprawdził spoza Google Play i nie widzieliśmy żadnych dowodów na próbę wykorzystanie tej podatności. ”

Sony powiedział nam również, że pracuje nad wypuszczeniem poprawki Fake ID na swoje urządzenia.