'Fake id' ja android-tietoturva [päivitetty]

Tietoturvatutkimusyritys BlueBox - sama yritys, joka paljasti ns. Androidin "Master Key" -heikkouden - on ilmoittanut löytäneen virheen tavassa, jolla Android käsittelee sovellusten allekirjoittamiseen käytettyjä henkilöllisyystodistuksia. Haavoittuvuus, josta BlueBox on saanut nimensä "Fake ID", antaa haitallisten sovellusten yhdistää itsensä laillisten sovellusten varmenteisiin ja saada siten pääsyn aineistoihin, joihin heillä ei pitäisi olla pääsyä.

Tietoturvallisuuteen liittyvät haavoittuvuudet, kuten tämä äänipelottava, ja olemme jo nähneet yhden tai kaksi hyperbolista otsikkoa tänään, kun tämä tarina on katkennut. Siitä huolimatta, kaikki virheet, joiden avulla sovellukset voivat tehdä asioita, joita heidän ei ole tarkoitus tehdä, ovat vakava ongelma. Joten tiivistämme lyhyesti, mitä tapahtuu pähkinänkuoressa, mitä se tarkoittaa Android-tietoturvalle ja onko syytä huoleen …

Päivitys: Olemme päivittäneet tämän artikkelin heijastamaan Googlen vahvistusta siitä, että sekä Play Kauppa että "Vahvista sovellukset" -ominaisuus on todella päivitetty vastaamaan väärennettyjen virheiden virhettä. Tämä tarkoittaa, että valtaosalla aktiivisista Google Android -laitteista on jo jonkin verran suojaa tästä ongelmasta, kuten artikkelissa käsitellään myöhemmin. Googlen lausunto kokonaisuudessaan löytyy tämän viestin lopusta.

Ongelma - Dodgy-sertifikaatit

'Fake ID' johtuu virheestä Android-paketin asennusohjelmassa.

BlueBoxin mukaan haavoittuvuus johtuu Android-pakettien asennusohjelman ongelmasta, OS-osasta, joka käsittelee sovellusten asennusta. Paketin asentaja ei ilmeisesti tarkista digitaalisten varmenteiden "ketjujen" aitoutta oikein, jotta pahantahtoinen varmenne voi väittää, että se on luotettavan osapuolen myöntämä. Se on ongelma, koska tietyt digitaaliset allekirjoitukset tarjoavat sovelluksille etuoikeutetun pääsyn joihinkin laitteen toimintoihin. Esimerkiksi Android 2.2-4.3 -käyttöjärjestelmässä Adoben allekirjoituksella varustetuille sovelluksille annetaan erityinen käyttöoikeus webview-sisältöön - Adobe Flash -tuen vaatimus, että väärinkäyttö voi aiheuttaa ongelmia. Vastaavasti NFC: n kautta turvattuihin maksuihin käytetyn laitteiston käyttöoikeuden väärentäminen voi antaa haittaohjelman siepata arkaluontoisia taloudellisia tietoja.

Vielä huolestuttavampaa, että haitallista varmennetta voidaan käyttää myös jäljittelemään tiettyjä laitteen etähallintaohjelmistoja, kuten 3LM, jota jotkut valmistajat käyttävät ja joka antaa laitteen laajalle hallitsemiselle.

Kuten BlueBox-tutkija Jeff Foristall kirjoittaa:

"Sovellusten allekirjoituksilla on tärkeä rooli Android-tietoturvamallissa. Sovelluksen allekirjoitus määrittelee, kuka voi päivittää sovelluksen, mitkä sovellukset voivat jakaa sen tietoja jne. Tietyt käyttöoikeuksien porttikäyttöön tarkoitetut käyttöoikeudet ovat vain sellaisten sovellusten käytettävissä, joilla on sama allekirjoitus kuin luvan luoja. Vielä kiinnostavampaa on, että erityisille allekirjoituksille annetaan tietyissä tapauksissa erityiset oikeudet."

Vaikka Adobe / webview -ongelma ei vaikuta Android 4.4: ään (koska verkkokatselu perustuu nyt Chromiumiin, jolla ei ole samoja Adobe-koukkuja), taustalla oleva paketin asennusvirhe vaikuttaa ilmeisesti edelleen vaikuttavan joihinkin KitKat-versioihin. Google Central Androidille annetussa lausunnossa sanottiin: "Saatuaan tiedon tästä haavoittuvuudesta, julkaisimme nopeasti korjaustiedoston, joka jaettiin Android-kumppaneille sekä Android Open Source -projektille."

Google sanoo, ettei ole mitään todisteita siitä, että väärennettyä henkilöä olisi käytetty hyväksi luonnossa.

Koska BlueBox kertoo ilmoittaneensa Googlelle huhtikuussa, todennäköisesti kaikki korjaukset on sisällytetty Android 4.4.3: een ja mahdollisesti joihinkin valmistajien 4.4.2-pohjaisiin tietoturvakorjauksiin. (Katso tämä koodisitoumus - kiitos Anant Shrivastava.) Alkuperäinen testaus BlueBoxin omalla sovelluksella osoittaa, että fake ID ei vaikuta eurooppalaisiin LG G3, Samsung Galaxy S5 ja HTC One M8. Olemme tavoittaneet suurimpia Android-laitevalmistajia saadaksesi selville, mitkä muut laitteet on päivitetty.

Väärennetyn henkilöllisyystodistuksen erityispiirteistä Forristal kertoo paljastavansa enemmän Black Hat -konferenssissa Las Vegasissa 2. elokuuta. Google totesi lausunnossaan, että se oli skannaa kaikki Play Kaupan sovellukset ja jotkut isännöivät niitä muissa sovelluskaupoissa, eikä löytänyt todisteita siitä, että hyväksikäyttöä käytettiin todellisessa maailmassa.

Ratkaisu - Android-virheiden korjaus Google Playssa

Play-palveluiden avulla Google voi tehokkaasti neutraloida tämän virheen suurimmassa osassa aktiivista Android-ekosysteemiä.

Väärennetty tunnus on vakava tietoturvaheikkous, joka oikein kohdennettua voi antaa hyökkääjälle tehdä vakavia vahinkoja. Ja koska taustalla olevaan virheeseen on vasta äskettäin puututtu AOSP: ssä, saattaa vaikuttaa siltä, ​​että suurin osa Android-puhelimista on avoin hyökkäyksille, ja pysyy sellaisena lähitulevaisuudessa. Kuten olemme jo keskustelleet, tehtävä miljardin tai niin aktiivisen Android-puhelimen päivittäminen on valtava haaste, ja "pirstoutuminen" on ongelma, joka on rakennettu Androidin DNA: han. Mutta Googlella on valmentajien rooli käsitellessäsi tällaisia ​​turvallisuuskysymyksiä - Google Play Services.

Aivan kuten Play-palvelut lisäävät uusia ominaisuuksia ja sovellusliittymiä ilman, että tarvitset firmware-päivitystä, sitä voidaan käyttää myös suojausaukkojen kytkemiseen. Jokin aika sitten Google lisäsi Google Play -palveluihin "vahvistaa sovellukset" -ominaisuuden tapana tarkistaa haittaohjelmien haittaohjelmat ennen niiden asentamista. Lisäksi se on käytössä oletuksena. Android 4.2: ssä ja uudemmissa versioissa se sijaitsee Asetukset> Suojaus; vanhemmissa versioissa se löytyy kohdasta Google-asetukset> Vahvista sovellukset. Kuten Sundar Pichai totesi Google I / O 2014 -tapahtumassa, 93 prosenttia aktiivisista käyttäjistä käyttää uusinta versiota Google Play -palveluista. Jopa muinaisessa LG Optimus Vu -käyttöjärjestelmässä, joka käyttää Android 4.0.4 Ice Cream Sandwich -tuotetta, on Play Services -palvelun "vahvistaa sovellukset" -vaihtoehto suojautuakseen haittaohjelmilta.

Google on vahvistanut Android Centralille, että "vahvistaa sovellukset" -ominaisuus ja Google Play on päivitetty käyttäjien suojelemiseksi tältä ongelmalta. Itse asiassa tämänkaltaiset sovellustason tietoturvavirheet ovat juuri niitä, jotka "tarkista sovellukset" -ominaisuus on suunniteltu käsittelemään. Tämä rajoittaa merkittävästi väärennetyn tunnuksen vaikutusta mihin tahansa laitteeseen, jolla on ajan tasalla oleva Google Play -palveluiden versio - kaukana kaikista Android-laitteista, jotka ovat haavoittuvia, Googlen toiminta, jonka tarkoituksena on puuttua väärennettyyn tunnukseen Play-palveluiden kautta, vaimensi sen tehokkaasti, ennen kuin asia edes tuli julkiseksi tietoa.

Saamme lisätietoja, kun virhettä koskevia tietoja tulee saataville Black Hatista. Mutta koska Googlen sovellusten todentaja ja Play Kauppa voivat hakea sovelluksia väärennetyllä tunnuksella, BlueBoxin väite, jonka mukaan "kaikki Android-käyttäjät tammikuusta 2010 lähtien" ovat vaarassa, näyttää olevan liioiteltu. (Vaikka käyttäjät, jotka käyttävät laitetta, jolla ei ole Googlen hyväksymää Android-versiota, jäävät tiukempiin tilanteisiin.)

Antaa Play Services -palvelun toimia portinvartijana on pysäytysratkaisu, mutta se on aika tehokas ratkaisu.

Siitä huolimatta, että Google on tietoinen väärennetyistä tunnuksista huhtikuusta lähtien, on erittäin epätodennäköistä, että kaikki hyväksikäyttöä käyttävät sovellukset pääsevät tulevaisuudessa Play Kauppaan. Kuten useimmat Android-tietoturvaongelmat, helpoin ja tehokkain tapa käsitellä väärennettyä tunnusta on olla älykäs siitä, mistä hankit sovelluksesi.

Haavoittuvuuden käytön lopettaminen ei varmasti ole sama kuin poistaa se kokonaan. Ihanteellisessa maailmassa Google pystyisi siirtämään päivitettävän tiedon kaikille Android-laitteille ja poistamaan ongelman ikuisesti, kuten Apple. Antaa Play-palveluiden ja Play Kaupan toimia portinvartijoina on pysäytysratkaisu, mutta ottaen huomioon Android-ekosysteemin koon ja hajanaisen luonteen, se on aika tehokas.

Ei sovi, että monet valmistajat vievät liian kauan viedäkseen tärkeitä tietoturvapäivityksiä laitteisiin, etenkin vähemmän tunnettuihin, kuten tällaiset ongelmat yleensä korostavat. Mutta se on paljon parempi kuin ei mitään.

Tärkeää on olla tietoinen tietoturvaongelmista, etenkin jos olet taitava Android-käyttäjä - sellainen henkilö, jonka tavalliset ihmiset hakevat apua, kun heidän puhelimessaan tapahtuu jotain vialla. Mutta on myös hyvä idea pitää asiat näkökulmasta ja muistaa, että tärkeä ei ole vain haavoittuvuus, vaan myös mahdollinen hyökkäysvektori. Google-ohjaamassa ekosysteemissä Play Kauppa ja Play-palvelut ovat kaksi tehokasta työkalua, joiden avulla Google voi käsitellä haittaohjelmia.

Joten pysy turvassa ja älykäs. Jatkamme sinulle lisätietoja Fake ID: stä suurimpien Android-valmistajien valmistajilta.

Päivitys: Googlen tiedottaja on toimittanut Android Centralille seuraavan lausunnon:

"Arvostamme Blueboxia vastuullisesti ilmoittamasta meille tästä haavoittuvuudesta. Kolmannen osapuolen tutkimus on yksi tapa, jolla Android tehdään entistä vahvemmaksi käyttäjille. Saatuaan tiedon tästä haavoittuvuudesta, julkaisimme nopeasti korjaustiedoston, joka jaettiin Android-kumppaneille ja AOSP: lle.. Google Play- ja Verify Apps -sovelluksia on myös parannettu käyttäjien suojelemiseksi tältä ongelmalta. Tällä hetkellä olemme tarkistaneet kaikki Google Playlle toimitetut sovellukset samoin kuin ne, joita Google on tarkistanut Google Playn ulkopuolelta, emmekä ole nähneet todisteita yrityksestä tämän haavoittuvuuden hyväksikäyttö ".

Sony on myös kertonut, että se työntää Fake ID -korjauksen poistamista laitteilleen.