'Viltus ID' un android drošība [atjaunināta]

Šodien drošības pētījumu firma BlueBox - tā pati kompānija, kas atklāja tā saucamo Android “Master Key” ievainojamību - ir paziņojusi par kļūdas atklāšanu veidā, kādā Android rīkojas ar identitātes sertifikātiem, kurus izmanto, lai parakstītu pieteikumus. Neaizsargātība, kuru BlueBox ir nodēvējusi par “Fake ID”, ļauj ļaunprātīgām lietotnēm sevi saistīt ar likumīgu lietotņu sertifikātiem, tādējādi iegūstot piekļuvi lietām, kurām tām nevajadzētu piekļūt.

Drošības ievainojamības, piemēram, šī pamatīgi biedējošā, un mēs šodien jau esam redzējuši vienu vai divus hiperboliskus virsrakstus, jo šis stāsts ir izjucis. Neskatoties uz to, jebkura kļūda, kas ļauj lietotnēm darīt lietas, kuras viņiem nav vajadzīgas, ir nopietna problēma. Rezumēsim īsumā to, kas notiek, ko tas nozīmē Android drošībai un vai ir vērts uztraukties …

Atjaunināšana: mēs atjauninājām šo rakstu, lai atspoguļotu Google apstiprinājumu, ka gan Play veikals, gan funkcija “verificēt lietotnes” patiešām ir atjaunināti, lai novērstu viltus ID kļūdu. Tas nozīmē, ka lielākajai daļai aktīvo Google Android ierīču jau ir zināma aizsardzība no šī jautājuma, kā tas tika apspriests vēlāk rakstā. Pilns Google paziņojums atrodams šīs ziņas beigās.

Problēma - Dodgy sertifikāti

“Viltus ID” cēlonis ir kļūda Android pakotņu instalētājā.

Saskaņā ar BlueBox teikto, ievainojamība rodas no problēmas Android pakotņu instalētājā - OS daļā, kas apstrādā lietotņu instalēšanu. Acīmredzot pakotņu instalētājs nepārbauda digitālo sertifikātu “ķēžu” autentiskumu, ļaujot ļaunprātīgam sertifikātam apgalvot, ka to ir izdevusi uzticama puse. Tā ir problēma, jo daži digitālie paraksti nodrošina lietotnēm priviliģētu piekļuvi dažām ierīces funkcijām. Piemēram, izmantojot operētājsistēmas Android 2.2-4.3, lietotnēm ar Adobe parakstu tiek piešķirta īpaša piekļuve tīmekļa skatījuma saturam - prasība pēc Adobe Flash atbalsta, kas nepareizas izmantošanas gadījumā varētu radīt problēmas. Tāpat tādas lietotnes paraksta viltošana, kurai ir priviliģēta pieeja aparatūrai, kas tiek izmantota drošiem maksājumiem, izmantojot NFC, ļaunprātīgai lietotnei var ļaut pārtvert sensitīvu finanšu informāciju.

Vēl satraucošāk, ka ļaunprātīgu sertifikātu var izmantot arī, lai uzdotos par noteiktu attālinātas ierīces pārvaldības programmatūru, piemēram, 3LM, kuru izmanto daži ražotāji un kas plaši kontrolē ierīci.

Kā raksta BlueBox pētnieks Džefs Foristāls:

"Lietojumprogrammu parakstiem ir liela nozīme Android drošības modelī. Lietojumprogrammas paraksts nosaka, kas var atjaunināt lietojumprogrammu, kādas lietojumprogrammas var koplietot tās datus utt. Noteiktas atļaujas, kuras tiek izmantotas piekļuves nodrošināšanai funkcionalitātei, ir izmantojamas tikai tām lietojumprogrammām, kurām ir tāds pats paraksts kā atļaujas veidotājam. Vēl interesantāk ir tas, ka ļoti specifiskiem parakstiem dažos gadījumos tiek piešķirtas īpašas privilēģijas."

Kaut arī Adobe / tīmekļa skatījuma problēma neietekmē operētājsistēmas Android 4.4 versiju (jo tīmekļa skatījums tagad ir balstīts uz Chromium, kurai nav vienādi Adobe āķi), acīmredzot pamatā esošā pakotņu instalēšanas kļūda turpina ietekmēt dažas KitKat versijas. Paziņojumā, kas sniegts Android Central Google, teikts: "Pēc tam, kad saņēmām informāciju par šo ievainojamību, mēs ātri izdevām plāksteri, kas tika izplatīts Android partneriem, kā arī Android atvērtā pirmkoda projektam."

Google saka, ka nav pierādījumu tam, ka “viltots ID” tiek izmantots dabā.

Ņemot vērā, ka BlueBox saka, ka tā aprīlī informēja Google, iespējams, jebkurš labojums tiks iekļauts Android 4.4.3 un, iespējams, dažos oriģinālo iekārtu ražotāju 4.4.4 balstītos drošības ielāgos. (Skat. Šo kodu. Paldies Anantam Šrivastavai.) Sākotnējā pārbaude ar pašu BlueBox lietotni liecina, ka viltus ID neietekmē Eiropas LG G3, Samsung Galaxy S5 un HTC One M8. Mēs esam sazinājušies ar galvenajiem Android OEM, lai uzzinātu, kuras citas ierīces ir atjauninātas.

Runājot par Fake ID vuln specifiku, Forristal saka, ka viņš vairāk pastāstīs par Black Hat konferenci Lasvegasā 2. augustā. Savā paziņojumā Google teica, ka Google ir skenējis visas lietotnes savā Play veikalā un dažas mitinājis citos lietotņu veikalos un neatrada pierādījumus tam, ka ļaunprātīga izmantošana tika izmantota reālajā pasaulē.

Risinājums - Android kļūdu labošana, izmantojot Google Play

Izmantojot Play pakalpojumus, Google var efektīvi novērst šo kļūdu lielākajā daļā aktīvās Android ekosistēmas.

Viltus ID ir nopietna drošības ievainojamība, kas, pareizi mērķējot, varētu ļaut uzbrucējam nodarīt nopietnu kaitējumu. Tā kā pamatā esošā kļūda AOSP tika risināta tikai nesen, varētu šķist, ka lielākā daļa Android tālruņu ir atvērti uzbrukumam un arī tuvākajā nākotnē tādi paliks. Kā mēs jau runājām iepriekš, uzdevums atjaunināt miljardus vai tik aktīvus Android tālruņus ir milzīgs izaicinājums, un "sadrumstalotība" ir problēma, kas ir iebūvēta Android DNS. Bet uzņēmumam Google ir jāspēlē trumpis, risinot šādus drošības jautājumus - Google Play pakalpojumi.

Tāpat kā Play pakalpojumi pievieno jaunas funkcijas un API, nepieprasot programmaparatūras atjauninājumu, to var izmantot arī, lai aizvērtu drošības caurumus. Pirms kāda laika Google Google Play pakalpojumiem pievienoja funkciju “verificēt lietotnes” kā veidu, kā pārbaudīt, vai nevienā lietotnē nav ļaunprātīga satura pirms to instalēšanas. Turklāt tas ir ieslēgts pēc noklusējuma. Operētājsistēmā Android 4.2 un jaunākā versija atrodas sadaļā Iestatījumi> Drošība; vecākās versijās to atradīsit sadaļā Google iestatījumi> Pārbaudīt lietotnes. Kā Sundar Pichai teica vietnē Google I / O 2014, 93 procenti aktīvo lietotāju izmanto jaunāko Google Play pakalpojumu versiju. Pat mūsu senajam LG Optimus Vu, kurā darbojas operētājsistēma Android 4.0.4 Ice Cream Sandwich, ir Play pakalpojumu opcija “pārbaudīt lietotnes”, lai tā būtu aizsargāta pret ļaunprātīgu programmatūru.

Google ir apstiprinājis Android Central, ka funkcija “verificēt lietotnes” un Google Play ir atjaunināti, lai aizsargātu lietotājus no šīs problēmas. Patiešām, tādas lietotņu līmeņa drošības kļūdas kā šis ir tieši tas, ar ko ir paredzēts darboties “pārbaudīt lietotnes”. Tas ievērojami ierobežo viltota ID ietekmi uz visām ierīcēm, kurās darbojas jaunākā Google Play pakalpojumu versija - tālu no visām Android ierīcēm, kas ir neaizsargātas, Google darbība, lai ar viltus ID palīdzību novērstu viltotu ID, to efektīvi mazināja, pirms problēma pat kļuva publiska. zināšanas.

Mēs uzzināsim vairāk, kad informācija par kļūdu kļūs pieejama vietnē Black Hat. Bet, tā kā Google lietotņu verificētājs un Play veikals var noķert lietotnes, izmantojot Fake ID, BlueBox apgalvojums, ka "visi Android lietotāji kopš 2010. gada janvāra" ir pakļauti riskam, šķiet pārspīlēts. (Lai arī jāatzīst, ka lietotāji, kuri izmanto ierīci ar Android neatbalstītu Android versiju, paliek stingrākā situācijā.)

Ļaut Play Services darboties kā vārtsargam ir ierobežots risinājums, taču tas ir diezgan efektīvs.

Neatkarīgi no tā, tas, ka Google kopš aprīļa ir zinājis par viltus ID, ir ļoti maz ticams, ka nākotnē kādas lietotnes, kas izmantos šo iespēju, nonāks Play veikalā. Tāpat kā vairums Android drošības problēmu, vienkāršākais un efektīvākais veids, kā tikt galā ar viltus ID, ir pārdomāt, no kurienes jūs izmantojat savas lietotnes.

Protams, pārtraukt ievainojamības izmantošanu nav tas pats, kas to pilnībā novērst. Ideālā pasaulē Google spētu tiešraidē atjaunināt ikvienu Android ierīci un novērst problēmu uz visiem laikiem, tāpat kā Apple. Ļaut Play Services un Play Store darboties kā vārtsargiem ir ierobežots risinājums, taču, ņemot vērā Android ekosistēmas lielumu un plašo raksturu, tas ir diezgan efektīvs.

Tas nenozīmē, ka daudziem ražotājiem joprojām ir pārāk ilgs laiks, lai izstumtu svarīgus ierīču, īpaši mazāk zināmu, drošības atjauninājumus, jo tādiem jautājumiem kā šī ir tendence izcelties. Bet tas ir daudz labāk nekā nekas.

Ir svarīgi apzināties drošības problēmas, it īpaši, ja esat lietpratīgs Android lietotājs - tas ir tas, pie kura parasti cilvēki vēršas pēc palīdzības, ja ar viņu tālruni kaut kas noiet greizi. Bet tā ir arī laba ideja, lai saglabātu lietas perspektīvā un atcerieties, ka svarīga ir ne tikai neaizsargātība, bet arī iespējamais uzbrukuma vektors. Google kontrolētās ekosistēmas gadījumā Play veikals un Play pakalpojumi ir divi jaudīgi rīki, ar kuru palīdzību Google var rīkoties ar ļaunprātīgu programmatūru.

Tāpēc esiet drošībā un gudri. Mēs jums nosūtīsim visu papildu informāciju par viltotu ID no galvenajiem Android OEM.

Atjauninājums: Google pārstāvis ir sniedzis Android Central šādu paziņojumu:

"Mēs novērtējam to, ka Bluebox atbildīgi ziņo mums par šo ievainojamību. Trešo pušu veiktie pētījumi ir viens no veidiem, kā Android tiek padarīts stiprāks lietotājiem. Pēc tam, kad saņēmām informāciju par šo ievainojamību, mēs ātri izdevām plāksteri, kas tika izplatīts Android partneriem, kā arī AOSP. Lai aizsargātu lietotājus no šīs problēmas, ir uzlabotas arī Google Play un Verified Apps. Šajā laikā mēs esam skenējuši visas Google Play iesniegtās lietojumprogrammas, kā arī tās, kuras Google ir pārskatījis no vietnes Google Play, un mēs neesam redzējuši pierādījumus par mēģinājumiem šīs ievainojamības izmantošana."

Sony arī mums ir teicis, ka strādā pie tā, lai savās ierīcēs izspiestu Fake ID labojumu.