„Фалшив идентификатор“ и защита на android [актуализиран]

Днес фирмата за проучване на сигурността BlueBox - същата компания, която разкри така наречената уязвимост на Android „Master Key“ - обяви откриването на грешка в начина, по който Android борави със сертификатите за идентичност, използвани за подписване на приложения. Уязвимостта, която BlueBox нарече „Fake ID“, позволява на злонамерените приложения да се свързват със сертификати от законни приложения, като по този начин получават достъп до неща, до които не трябва да имат достъп.

Уязвимостите в сигурността харесват този звук страшно и днес вече видяхме едно или две заглавия на хиперболика, тъй като тази история се наруши. Независимо от това, всяка грешка, която позволява на приложенията да правят неща, за които не се предполага, че е сериозен проблем. Затова нека обобщим какво се случва накратко, какво означава за сигурността на Android и дали си струва да се притеснявате …

Актуализация: Актуализирахме тази статия, за да отразяваме потвърждение от Google, че както Play Store, така и функцията „потвърждаване на приложения“ наистина са актуализирани, за да адресират грешката в фалшивия идентификатор. Това означава, че по-голямата част от активните устройства с Android на Android вече имат известна защита от този проблем, както беше обсъдено по-долу в статията. Изявлението на Google в пълен обем може да бъде намерено в края на тази публикация.

Проблемът - сертификати за додж

„Fake ID“ произлиза от грешка в инсталатора на пакети за Android.

Според BlueBox, уязвимостта произтича от проблем в инсталатора на пакети за Android, частта от ОС, която обработва инсталирането на приложения. Инсталаторът на пакети очевидно не правилно проверява автентичността на „веригите“ на цифрови сертификати, което позволява на злонамерен сертификат да твърди, че е издаден от доверена страна. Това е проблем, тъй като определени цифрови подписи предоставят на приложенията привилегирован достъп до някои функции на устройството. Например с Android 2.2-4.3 приложенията, носещи подпис на Adobe, получават специален достъп до съдържание в уеб преглед - изискване за поддръжка на Adobe Flash, което при неправилна употреба може да причини проблеми. По същия начин, подправянето на подписа на приложение, което има привилегирован достъп до хардуера, използван за сигурни плащания през NFC, може да позволи на злонамерено приложение да пресече чувствителна финансова информация.

По-тревожното е, че злонамерен сертификат може да се използва и за представяне на определен софтуер за управление на отдалечени устройства, като например 3LM, който се използва от някои производители и предоставя задълбочен контрол върху дадено устройство.

Както пише изследователят на BlueBox Джеф Форстал:

„Подписите на приложения играят важна роля в модела за защита на Android. Подписът на приложението определя кой може да актуализира приложението, какви приложения могат да споделят неговите данни и др. Някои разрешения, използвани за достъп до функционалност, се използват само от приложения, които имат същият подпис като създателя на разрешението. По-интересното е, че много специфични подписи получават специални привилегии в определени случаи."

Въпреки че проблемът с Adobe / webview не засяга Android 4.4 (тъй като уебизгледът вече е базиран на Chromium, който няма същите куки на Adobe), основният бъг за инсталиране на пакети очевидно продължава да засяга някои версии на KitKat. В изявление, предоставено на Android Central Google, се казва: „След като получихме дума за тази уязвимост, ние бързо издадохме патч, който беше разпространен на партньорите на Android, както и на проекта с отворен код на Android“.

Google казва, че няма доказателства, че „фалшивата идентификация“ се експлоатира в природата.

Като се има предвид, че BlueBox казва, че е информирал Google през април, вероятно всяка поправка ще бъде включена в Android 4.4.3 и вероятно някои батерии за сигурност, базирани на 4.4.2 от OEM производители. (Вижте този ангажимент за код - благодаря Anant Shrivastava.) Първоначалното тестване със собственото приложение на BlueBox показва, че европейските LG G3, Samsung Galaxy S5 и HTC One M8 не са засегнати от Fake ID. Свързахме се с основните OEM производители на Android, за да разберем кои други устройства са актуализирани.

Що се отнася до спецификата на фалшивата идентификация на вулкана, Forristal казва, че ще разкрие повече за конференцията на Black Hat в Лас Вегас на 2 август. В своето изявление Google заяви, че е сканирала всички приложения в своя Play Store, а някои хоствани в други магазини за приложения и не намериха доказателства, че експлоатацията се използва в реалния свят.

Решението - коригиране на Android бъгове с Google Play

Чрез Play Services Google може ефективно да използва този бъг в повечето от активната Android система.

Fake ID е сериозна уязвимост на сигурността, която при правилно насочване може да позволи на нападателя да нанесе сериозни щети. И тъй като основният бъг е разгледан едва наскоро в AOSP, може да изглежда, че голяма част от телефоните с Android са отворени за атака и ще останат такива в обозримото бъдеще. Както вече обсъждахме, задачата да актуализираме милиарда или толкова активни телефони с Android е огромно предизвикателство, а „фрагментацията“ е проблем, вграден в ДНК на Android. Но Google има коз за игра, когато се занимава с проблеми със сигурността като тази - Google Play Services.

Тъй като Play Services добавя нови функции и API, без да се изисква актуализация на фърмуера, така може да се използва и за запушване на дупки за сигурност. Преди време Google добави функция за проверка на приложения към услугите на Google Play като начин за сканиране на всякакви приложения за злонамерено съдържание, преди да бъдат инсталирани. Нещо повече - той е включен по подразбиране. В Android 4.2 и по-нова версия живее под Настройки> Защита; в по-старите версии ще го намерите в Настройки на Google> Потвърждаване на приложения. Както каза Sundar Pichai в Google I / O 2014, 93 процента от активните потребители са на най-новата версия на услугите на Google Play. Дори древният ни LG Optimus Vu, работещ със сандвич за сладолед с Android 4.0.4, има опцията „провери приложения“ от Play Services, за да се пази от зловреден софтуер.

Google потвърдиха за Android Central, че функцията „потвърждаване на приложения“ и Google Play са актуализирани, за да защитят потребителите от този проблем. Всъщност грешките на ниво сигурност в приложението са точно това, с което е предназначена функцията „провери приложения“. Това значително ограничава въздействието на фалшивия идентификатор върху всяко устройство, използващо актуална версия на Google Play Services - далеч от това, че всички устройства с Android са уязвими, действията на Google да се справи с фалшивия идентификатор чрез Play Services ефективно го спряха, преди проблемът дори да стане публичен знание.

Ще разберем повече, когато информация за бъга стане достъпна в Black Hat. Но тъй като верификаторът на приложенията на Google и Play Store могат да хващат приложения, използвайки Fake ID, твърдението на BlueBox, че „всички потребители на Android от януари 2010 г.“ са изложени на риск. (Макар да се признава, че потребителите, работещи с устройство с версия, която не е одобрена от Google, са оставени в по-строга ситуация.)

Оставянето на Play Services да играе ролята на вратар е решение за спиране, но е доста ефективно.

Независимо, фактът, че Google е запознат с фалшивия идентификатор от април, прави много малко вероятно някое приложение, което използва експлоата, да го превърне в Play Store в бъдеще. Подобно на повечето проблеми със сигурността на Android, най-лесният и най-ефективен начин да се справите с Fake ID е да бъдете интелигентни откъде черпите приложенията си.

Със сигурност спирането на дадена уязвимост от експлоатация не е същото като елиминирането й като цяло. В идеален свят Google би могъл да натисне актуализация в ефир до всяко устройство с Android и да елиминира проблема завинаги, както прави Apple. Оставянето на Play Services и Play Store да играят ролята на вратари е решение за спиране, но като се има предвид размерът и естеството на екосистемата на Android, това е доста ефективно.

Не е правилно, че много производители продължават да отнемат твърде дълго време, за да изтласкат важни актуализации за защита на устройства, особено по-малко известни, тъй като проблеми като тази обикновено се подчертават. Но е много по-добре от нищо.

Важно е да сте наясно с проблемите със сигурността, особено ако сте технически потребител на Android - този тип хора, към които редовно се обръщат хора, когато нещо се обърка с телефона им. Но също така е добра идея да държите нещата в перспектива и не забравяйте, че е важна не само уязвимостта, но и възможният вектор за атака. В случая с екосистемата, контролирана от Google, Play Store и Play Services са два мощни инструмента, с които Google може да борави със злонамерен софтуер.

Затова бъдете в безопасност и останете умни. Ще ви държим в течение с всякаква допълнителна информация за фалшивия идентификатор от основните OEM производители на Android.

Актуализация: Говорителят на Google предостави на Android Central следното изявление:

„Ние оценяваме Bluebox отговорно да съобщава за тази уязвимост пред нас; изследванията на трети страни са един от начините, по които Android става по-силен за потребителите. След като получихме дума за тази уязвимост, бързо издадохме патч, който беше разпространен на Android партньори, както и на AOSP Приложенията за Google Play и Verify също бяха подобрени, за да защитят потребителите от този проблем. Понастоящем сканирахме всички приложения, изпратени до Google Play, както и тези, които Google е прегледал извън Google Play и не видяхме никакви доказателства за опит за опит експлоатация на тази уязвимост."

Sony също ни каза, че работи върху изтласкването на корекцията за фалшиви идентификатори към своите устройства.