'Fake id' και ασφάλεια του Android [ενημερώθηκε]

Σήμερα, η BlueBox, εταιρεία έρευνας ασφάλειας, η οποία αποκάλυψε την αποκαλούμενη ευπάθεια Android Key Key, ανακοίνωσε την ανακάλυψη ενός σφάλματος στον τρόπο με τον οποίο το Android χειρίζεται τα πιστοποιητικά ταυτότητας που χρησιμοποιούνται για την υπογραφή εφαρμογών. Η ευπάθεια, την οποία το BlueBox έχει αποκαλήσει "Fake ID", επιτρέπει στις κακόβουλες εφαρμογές να συσχετίζονται με πιστοποιητικά από νόμιμες εφαρμογές, αποκτώντας έτσι πρόσβαση σε πράγματα στα οποία δεν πρέπει να έχουν πρόσβαση.

Τα τρωτά σημεία ασφαλείας όπως αυτό το ήχο είναι τρομακτικό και έχουμε ήδη δει έναν ή δύο υπερβολικούς τίτλους σήμερα καθώς αυτή η ιστορία έχει σπάσει. Παρ 'όλα αυτά, κάθε σφάλμα που επιτρέπει στις εφαρμογές να κάνουν πράγματα που δεν υποτίθεται ότι είναι ένα σοβαρό πρόβλημα. Ας συνοψίσουμε λοιπόν τι συμβαίνει με λίγα λόγια, τι σημαίνει για την ασφάλεια του Android και αν αξίζει να ανησυχείτε …

Ενημέρωση: Ενημερώσαμε αυτό το άρθρο για να αντανακλάμε την επιβεβαίωση από την Google ότι και η λειτουργία Play Store και η επαλήθευση των εφαρμογών έχουν πράγματι ενημερωθεί για να αντιμετωπιστεί το σφάλμα Fake ID. Αυτό σημαίνει ότι η συντριπτική πλειοψηφία των ενεργών συσκευών Google Android έχει ήδη κάποια προστασία από αυτό το ζήτημα, όπως αναλύθηκε αργότερα στο άρθρο. Η δήλωση της Google στο σύνολό της μπορεί να βρεθεί στο τέλος αυτής της ανάρτησης.

Το πρόβλημα - πιστοποιητικά Dodgy

Το "ψεύτικο αναγνωριστικό" προέρχεται από ένα σφάλμα στο πρόγραμμα εγκατάστασης του πακέτου Android.

Σύμφωνα με το BlueBox, η ευπάθεια απορρέει από ένα πρόβλημα στο πρόγραμμα εγκατάστασης του πακέτου Android, το μέρος του λειτουργικού συστήματος που χειρίζεται την εγκατάσταση των εφαρμογών. Ο εγκαταστάτης του πακέτου δεν προφανώς ελέγχει σωστά την αυθεντικότητα των "αλυσίδων" ψηφιακών πιστοποιητικών, επιτρέποντας σε ένα κακόβουλο πιστοποιητικό να ισχυρίζεται ότι έχει εκδοθεί από ένα αξιόπιστο μέρος. Αυτό είναι ένα πρόβλημα επειδή ορισμένες ψηφιακές υπογραφές παρέχουν στις εφαρμογές προνομιακή πρόσβαση σε ορισμένες λειτουργίες συσκευών. Με το Android 2.2-4.3, για παράδειγμα, στις εφαρμογές που φέρουν την υπογραφή της Adobe δίνεται ειδική πρόσβαση στο περιεχόμενο webview - μια απαίτηση για την υποστήριξη του Adobe Flash που, αν γίνει κατάχρηση, μπορεί να προκαλέσει προβλήματα. Ομοίως, η πλαστογράφηση της υπογραφής μιας εφαρμογής που έχει προνομιακή πρόσβαση στο υλικό που χρησιμοποιείται για ασφαλείς πληρωμές μέσω του NFC θα μπορούσε να επιτρέψει σε μια κακόβουλη εφαρμογή να παρακολουθήσει ευαίσθητες οικονομικές πληροφορίες.

Ανησυχέστερα, ένα κακόβουλο πιστοποιητικό θα μπορούσε επίσης να χρησιμοποιηθεί για την παραποίηση ορισμένων απομακρυσμένων λογισμικών διαχείρισης συσκευών, όπως το 3LM, το οποίο χρησιμοποιείται από ορισμένους κατασκευαστές και παρέχει εκτεταμένο έλεγχο σε μια συσκευή.

Όπως ο ερευνητής του BlueBox Jeff Foristall γράφει:

"Οι υπογραφές αιτήσεων διαδραματίζουν σημαντικό ρόλο στο μοντέλο ασφαλείας Android.Η υπογραφή της εφαρμογής καθορίζει ποιος μπορεί να ενημερώσει την εφαρμογή, ποιες εφαρμογές μπορούν να μοιράζονται τα δεδομένα της κλπ. Ορισμένα δικαιώματα, τα οποία χρησιμοποιούνται για να αποκτήσουν πρόσβαση στη λειτουργικότητα, μπορούν να χρησιμοποιηθούν μόνο από εφαρμογές που έχουν την ίδια υπογραφή με τον δημιουργό της άδειας. Με πιο ενδιαφέροντα τρόπο, στις συγκεκριμένες υπογραφές δίνονται ειδικά προνόμια σε ορισμένες περιπτώσεις."

Ενώ το ζήτημα του Adobe / webview δεν επηρεάζει το Android 4.4 (επειδή η προβολή ιστού βασίζεται τώρα στο Chromium, το οποίο δεν έχει τα ίδια άγκιστρα Adobe), το υποκείμενο σφάλμα εγκατάστασης πακέτου φαίνεται ότι εξακολουθεί να επηρεάζει ορισμένες εκδόσεις του KitKat. Σε μια δήλωση που δόθηκε στο Android Central, η Google δήλωσε: "Αφού λάβαμε τη λέξη αυτής της ευπάθειας, εκδόσαμε γρήγορα μια ενημερωμένη έκδοση που διανεμήθηκε στους συνεργάτες του Android καθώς και στο Android Open Source Project".

Το Google λέει ότι δεν υπάρχουν αποδείξεις ότι το «ψεύτικο ID» εκμεταλλεύεται στο φυσικό περιβάλλον.

Δεδομένου ότι η BlueBox λέει ότι πληροφόρησε την Google τον Απρίλιο, είναι πιθανό ότι οποιαδήποτε λύση θα έχει συμπεριληφθεί στο Android 4.4.3 και ενδεχομένως σε κάποια μπαλώματα ασφαλείας που βασίζονται σε 4.4.2 από τους ΚΑΕ. (Βλέπε αυτό το κώδικα commit - ευχαριστίες Anant Shrivastava.) Αρχικό έλεγχο με την εφαρμογή BlueBox δείχνει ότι τα ευρωπαϊκά LG G3, το Samsung Galaxy S5 και το HTC One M8 δεν επηρεάζονται από Fake ID. Έχουμε προσεγγίσει τις μεγάλες εταιρίες OEM Android για να μάθουμε ποιες άλλες συσκευές έχουν ενημερωθεί.

Όσον αφορά τις ιδιαιτερότητες του Fake ID vuln, η Forristal λέει ότι θα αποκαλύψει περισσότερα σχετικά με το Black Hat Conference στο Λας Βέγκας στις 2 Αυγούστου. Στη δήλωσή της, η Google δήλωσε ότι είχε σαρώσει όλες τις εφαρμογές στο Play Store της και κάποια φιλοξενούνται σε άλλα καταστήματα εφαρμογών και δεν βρήκαν στοιχεία που να αποδεικνύουν ότι το εκμεταλλευόμενο υλικό χρησιμοποιήθηκε στον πραγματικό κόσμο.

Η λύση - Προσδιορισμός σφαλμάτων Android με το Google Play

Μέσω των Υπηρεσιών Play, η Google μπορεί να απολέσει αποτελεσματικά αυτό το σφάλμα στο μεγαλύτερο μέρος του ενεργού οικοσυστήματος Android.

Το ψεύτικο αναγνωριστικό είναι μια σοβαρή ευπάθεια ασφαλείας, που αν είναι σωστά στοχοθετημένη, θα επιτρέψει σε έναν εισβολέα να κάνει σοβαρή ζημιά. Και καθώς το υποκείμενο bug έχει αντιμετωπιστεί πρόσφατα μόνο στο AOSP, μπορεί να φαίνεται ότι η μεγάλη πλειοψηφία των τηλεφώνων Android είναι ανοικτά για επίθεση και θα παραμείνει έτσι στο άμεσο μέλλον. Όπως έχουμε συζητήσει προηγουμένως, το καθήκον να ενημερωθούν τα δισεκατομμύρια ή τόσο ενεργά τηλέφωνα Android είναι μια τεράστια πρόκληση, και ο "κατακερματισμός" είναι ένα πρόβλημα που ενσωματώνεται στο DNA του Android. Αλλά η Google έχει μια ατού για να παίξει όταν ασχολείται με θέματα ασφάλειας όπως αυτή - οι υπηρεσίες Google Play.

Ακριβώς όπως οι Υπηρεσίες Play προσθέτουν νέες λειτουργίες και API χωρίς να χρειάζονται ενημέρωση υλικολογισμικού, μπορούν επίσης να χρησιμοποιηθούν για να συνδέσουν τρύπες ασφαλείας. Πριν από λίγο καιρό η Google πρόσθεσε μια λειτουργία "επαλήθευση εφαρμογών" στις υπηρεσίες Google Play ως τρόπος σάρωσης οποιωνδήποτε εφαρμογών για κακόβουλο περιεχόμενο προτού εγκατασταθούν. Επιπλέον, είναι ενεργοποιημένη από προεπιλογή. Στο Android 4.2 και πάνω ζει υπό Ρυθμίσεις> Ασφάλεια. σε παλαιότερες εκδόσεις, θα το βρείτε κάτω από τις Ρυθμίσεις Google> Επαλήθευση εφαρμογών. Όπως δήλωσε ο Sundar Pichai στο Google I / O 2014, το 93% των ενεργών χρηστών βρίσκεται στην τελευταία έκδοση των υπηρεσιών Google Play. Ακόμα και η αρχική μας LG Optimus Vu, με το Android 4.0.4 Ice Cream Sandwich, έχει την επιλογή "επαληθεύει εφαρμογές" από τις Υπηρεσίες Play για να προστατεύεται από κακόβουλο λογισμικό.

Η Google επιβεβαίωσε στο Android Central ότι η λειτουργία "επαλήθευση εφαρμογών" και το Google Play έχουν ενημερωθεί για την προστασία των χρηστών από αυτό το ζήτημα. Πράγματι, παρόμοια σφάλματα ασφαλείας σε επίπεδο εφαρμογής είναι ακριβώς αυτά που έχει σχεδιαστεί για τη διαχείριση της δυνατότητας "επαλήθευση εφαρμογών". Αυτό περιορίζει σημαντικά τον αντίκτυπο του Fake ID σε οποιαδήποτε συσκευή που χρησιμοποιεί μια ενημερωμένη έκδοση των Υπηρεσιών Google Play - μακριά από όλες τις συσκευές Android που είναι ευάλωτες, η δράση της Google για την αντιμετώπιση του Fake ID μέσω των Υπηρεσιών Play στειρώθηκε αποτελεσματικά πριν το θέμα γίνει ακόμα δημόσιο η γνώση.

Θα μάθουμε περισσότερα όταν οι πληροφορίες σχετικά με το σφάλμα είναι διαθέσιμες στο Black Hat. Όμως, καθώς ο ελεγκτής εφαρμογών της Google και το Play Store μπορούν να εντοπίζουν εφαρμογές με το Fake ID, ο ισχυρισμός της BlueBox ότι "όλοι οι χρήστες Android από τον Ιανουάριο του 2010" διατρέχουν κίνδυνο φαίνεται υπερβολικός. (Παρόλα αυτά, οι χρήστες που εκτελούν μια συσκευή με έκδοση που δεν έχει εγκριθεί από την Google Android, παραμένουν σε πιο αδιέξοδη κατάσταση.)

Η παροχή υπηρεσιών Play Services ως Gatekeeper είναι μια λύση stopgap, αλλά είναι αρκετά αποτελεσματική.

Ανεξαρτήτως, το γεγονός ότι η Google γνώριζε το Fake ID από τον Απρίλιο καθιστά εξαιρετικά απίθανο ότι οποιεσδήποτε εφαρμογές που χρησιμοποιούν το exploit θα το κάνουν στο Play Store στο μέλλον. Όπως και τα περισσότερα θέματα ασφάλειας Android, ο πιο εύκολος και αποτελεσματικός τρόπος αντιμετώπισης του Fake ID είναι να είσαι έξυπνος για το πού παίρνεις τις εφαρμογές σου.

Σίγουρα, η διακοπή μιας ευπάθειας από την εκμετάλλευση δεν είναι η ίδια με την εξάλειψή της εντελώς. Σε έναν ιδανικό κόσμο, η Google θα είναι σε θέση να προωθήσει μια ενημέρωση μέσω του αέρα σε κάθε συσκευή Android και να εξαλείψει το πρόβλημα για πάντα, όπως και η Apple. Το να επιτρέπεται η Play Services και το Play Store να λειτουργούν ως gatekeepers είναι μια λύση stopgap, αλλά δεδομένου του μεγέθους και της ευρύτατης φύσης του οικοσυστήματος Android, είναι αρκετά αποτελεσματική.

Δεν είναι εντάξει το γεγονός ότι πολλοί κατασκευαστές εξακολουθούν να παίρνουν πάρα πολύ χρόνο για να σπρώξουν σημαντικές ενημερώσεις ασφαλείας σε συσκευές, ιδιαίτερα λιγότερο γνωστές, όπως τα θέματα όπως αυτό τείνουν να τονίζουν. Αλλά είναι πολύ καλύτερα από τίποτα.

Είναι σημαντικό να γνωρίζετε τα θέματα ασφάλειας, ειδικά αν είστε τεχνολογικά καταλαβαίνω χρήστης Android - το είδος του ατόμου που οι τακτικοί άνθρωποι απευθύνονται για βοήθεια όταν κάτι πάει στραβά με το τηλέφωνό τους. Αλλά είναι επίσης καλή ιδέα να κρατάτε τα πράγματα σε προοπτική και να θυμάστε ότι δεν είναι μόνο η ευπάθεια που είναι σημαντική, αλλά και ο πιθανός φορέας επίθεσης. Στην περίπτωση του οικοσυστήματος που ελέγχεται από την Google, το Play Store και οι Υπηρεσίες Play είναι δύο ισχυρά εργαλεία με τα οποία η Google μπορεί να χειριστεί κακόβουλα προγράμματα.

Έτσι παραμείνετε ασφαλείς και μείνετε έξυπνοι. Θα σας κρατήσουμε αναρτημένους με οποιεσδήποτε περαιτέρω πληροφορίες σχετικά με το Fake ID από τους σημαντικότερους OEM Android.

Ενημέρωση: Ένας εκπρόσωπος της Google έχει παράσχει στο Android Central την ακόλουθη δήλωση:

"Εκτιμούμε ότι η Bluebox αναφέρει υπεύθυνα αυτήν την ευπάθεια σε εμάς, η έρευνα τρίτων είναι ένας από τους τρόπους με τους οποίους το Android γίνεται ισχυρότερο για τους χρήστες.Μετά από τη λήψη αυτής της ευπάθειας, εκδόθηκε γρήγορα μια ενημερωμένη έκδοση κώδικα που διανεμήθηκε στους συνεργάτες του Android καθώς και στο AOSP Επίσης, έχουν βελτιωθεί τα προγράμματα Google Play και Verify Apps για την προστασία των χρηστών από αυτό το θέμα. Αυτή τη στιγμή έχουμε σαρώσει όλες τις αιτήσεις που έχουν υποβληθεί στο Google Play καθώς και αυτές που έχει εξετάσει η Google εκτός του Google Play και δεν έχουμε δει κανένα στοιχείο απόπειρας εκμετάλλευση αυτής της ευπάθειας."

Η Sony μας έχει επίσης πει ότι εργάζεται για να σπρώξει το fix fake ID στις συσκευές της.