'Fake id' og android sikkerhed [opdateret]

I dag har sikkerhedsundersøgelsesfirma BlueBox - det samme firma, der afslørede den såkaldte Android "Master Key" -sårbarhed - annonceret opdagelsen af ​​en fejl på den måde, Android håndterer identitetscertifikater, der bruges til at underskrive applikationer. Sårbarheden, som BlueBox har døbt "Fake ID", tillader ondsindede apps at knytte sig til certifikater fra legitime apps, og dermed få adgang til ting, de ikke skal have adgang til.

Sikkerhedsmæssige sårbarheder som dette lyder skræmmende, og vi har allerede set en eller to hyperboliske overskrifter i dag, da denne historie er ødelagt. Ikke desto mindre er enhver bug, der lader apps gøre ting, de ikke skal, et alvorligt problem. Så lad os opsummere, hvad der sker i et nøddeskal, hvad det betyder for Android-sikkerhed, og om det er værd at bekymre dig om …

Opdatering: Vi har opdateret denne artikel for at afspejle en bekræftelse fra Google om, at både Play Store og "verificer apps" -funktionen faktisk er blevet opdateret til at adressere Fake ID-fejlen. Dette betyder, at langt de fleste aktive Google Android-enheder allerede har en vis beskyttelse mod dette problem, som diskuteret senere i artiklen. Googles erklæring i sin helhed kan findes i slutningen af ​​dette indlæg.

Problemet - Dodgy certifikater

'Fake ID' stammer fra en fejl i installationsprogrammet til Android-pakken.

Ifølge BlueBox stammer sårbarheden fra et problem i Android-pakkeinstallationsprogrammet, den del af OS, der håndterer installationen af ​​apps. Pakkeinstallationsprogrammet verificerer tilsyneladende ikke korrekt ægtheden af ​​digitale certifikats "kæder", hvilket tillader et ondsindet certifikat at hævde, at det er udstedt af en betroet part. Det er et problem, fordi visse digitale signaturer giver apps privilegeret adgang til nogle enhedsfunktioner. Med Android 2.2-4.3 får for eksempel apps, der bærer Adobes underskrift, særlig adgang til webview-indhold - et krav til Adobe Flash-understøttelse, at hvis misbrug kan forårsage problemer. Tilsvarende kan forfalskning af underskriften på en app, der har privilegeret adgang til den hardware, der bruges til sikre betalinger over NFC, muligvis lade en ondsindet app opfange følsomme økonomiske oplysninger.

Mere foruroligende kunne et ondsindet certifikat også bruges til at efterligne visse fjernstyringsenhedssoftware, såsom 3LM, som bruges af nogle producenter og giver omfattende kontrol over en enhed.

Som BlueBox-forsker Jeff Foristall skriver:

"Applikationssignaturer spiller en vigtig rolle i Android-sikkerhedsmodellen. En applikations signatur fastlægger, hvem der kan opdatere applikationen, hvilke applikationer der kan dele dets data osv. Visse tilladelser, der bruges til at gate adgang til funktionalitet, kan kun bruges af applikationer, der har samme underskrift som tilladelsesskaberen. Mere interessant er, at meget specifikke underskrifter i visse tilfælde får særlige privilegier."

Mens Adobe / webview-problemet ikke påvirker Android 4.4 (fordi webview nu er baseret på Chromium, som ikke har de samme Adobe-kroge), fortsætter den underliggende pakkeinstallationsfejl tilsyneladende med at påvirke nogle versioner af KitKat. I en erklæring til Android Central sagde Google: "Efter at have modtaget ord om denne sårbarhed udstedte vi hurtigt en programrettelse, der blev distribueret til Android-partnere såvel som til Android Open Source-projektet."

Google siger, at der ikke er noget bevis for, at 'Fake ID' udnyttes i naturen.

I betragtning af at BlueBox siger, at det underrettede Google i april, er det sandsynligvis, at enhver fix er inkluderet i Android 4.4.3 og muligvis nogle 4.4.2-baserede sikkerhedsrettelser fra OEM'er. (Se denne kode forpligtelse - tak, Anant Shrivastava.) Første test med BlueBox egen app viser, at den europæiske LG G3, Samsung Galaxy S5 og HTC One M8 ikke er berørt af Fake ID. Vi har kontaktet de store Android-OEM'er for at finde ud af, hvilke andre enheder der er opdateret.

Med hensyn til detaljerne i Fake ID vuln siger Forristal, at han vil afsløre mere om på Black Hat-konferencen i Las Vegas 2. august. I sin erklæring sagde Google, at den havde scannet alle apps i sin Play Store, og nogle var vært for i andre app-butikker og fandt intet bevis for, at udnyttelsen blev brugt i den virkelige verden.

Løsningen - Rettelse af Android-fejl med Google Play

Gennem Play Services kan Google effektivt kastrere denne fejl på tværs af det meste af det aktive Android-økosystem.

Fake ID er en alvorlig sikkerhedssårbarhed, der, hvis den korrekt målrettet kan give en angriberen alvorlige skader. Og da den underliggende bug først for nylig er blevet adresseret i AOSP, kan det se ud som om, at det store flertal af Android-telefoner er åbne for angreb og vil forblive det i en overskuelig fremtid. Som vi har diskuteret før, er opgaven med at få de milliarder eller så aktive Android-telefoner opdateret en enorm udfordring, og "fragmentering" er et problem, der er indbygget i Android's DNA. Men Google har et trumfkort, der skal spilles, når man håndterer sikkerhedsproblemer som dette - Google Play Services.

Ligesom Play Services tilføjer nye funktioner og API'er uden at kræve en firmwareopdatering, kan de også bruges til at tilslutte sikkerhedshuller. For nogen tid siden føjede Google en "verificer apps" -funktion til Google Play Services som en måde at scanne alle apps for skadeligt indhold, før de er installeret. Derudover er det tændt som standard. I Android 4.2 og nyere lever den under Indstillinger> Sikkerhed; på ældre versioner finder du det under Google Indstillinger> Bekræft apps. Som Sundar Pichai sagde ved Google I / O 2014, er 93 procent af de aktive brugere på den nyeste version af Google Play-tjenester. Selv vores gamle LG Optimus Vu, der kører Android 4.0.4 Ice Cream Sandwich, har indstillingen "verificer apps" fra Play Services til at beskytte sig mod malware.

Google har bekræftet overfor Android Central, at funktionen "verificer apps" og Google Play er blevet opdateret for at beskytte brugere mod dette problem. Faktisk er sikkerhedsfejl som app-niveau som dette nøjagtigt, hvad funktionen "verificer apps" er designet til at håndtere. Dette begrænser betydningen af ​​Fake ID på enhver enhed, der kører en opdateret version af Google Play Services - langt fra at alle Android-enheder er sårbare, Googles handling til at adressere Fake ID via Play Services effektivt kastrerede det, før problemet endda blev offentlig viden.

Vi finder ud af mere, når oplysninger om fejlen bliver tilgængelige på Black Hat. Men da Googles appverifikator og Play Store kan fange apps ved hjælp af Fake ID, forekommer BlueBox påstand om, at "alle Android-brugere siden januar 2010" er i fare, overdrevet. (Selvfølgelig er brugere, der kører en enhed med en ikke-Google-godkendt version af Android, i en klorere situation).

At lade Play Services fungere som gatekeeper er en stopgap-løsning, men det er en temmelig effektiv løsning.

Uanset det faktum, at Google har været opmærksom på Fake ID siden april, gør det meget usandsynligt, at nogen apps, der bruger udnyttelsen, kommer til Play Store i fremtiden. Som de fleste Android-sikkerhedsproblemer er den nemmeste og mest effektive måde at håndtere Fake ID på at være smart om, hvor du får dine apps fra.

At helt sikkert stoppe en sårbarhed fra at blive udnyttet er ikke det samme som at fjerne det helt. I en ideel verden ville Google være i stand til at skubbe en over-the-air opdatering til enhver Android-enhed og eliminere problemet for evigt, ligesom Apple gør. At lade Play Services og Play Store fungere som gatekeepers er en stopgap-løsning, men i betragtning af størrelsen og den spredte natur af Android-økosystemet er det en temmelig effektiv løsning.

Det gør det ikke OK, at mange producenter stadig tager alt for lang tid med at skubbe vigtige sikkerhedsopdateringer til enheder, især mindre kendte, ud, da problemer som dette har en tendens til at fremhæve. Men det er meget bedre end intet.

Det er vigtigt at være opmærksom på sikkerhedsproblemer, især hvis du er en teknisk kyndig Android-bruger - den slags person, som folk regelmæssigt henvender sig til for at få hjælp, når noget går galt med deres telefon. Men det er også en god ide at holde tingene i perspektiv, og husk, at det ikke kun er den sårbarhed, der er vigtig, men også den mulige angrebsvektor. For det Google-kontrollerede økosystem er Play Store og Play Services to kraftfulde værktøjer, som Google kan håndtere malware med.

Så vær sikker og bliv smart. Vi holder dig opdateret med yderligere oplysninger om Fake ID fra de store Android OEM'er.

Opdatering: En Google-talsperson har givet Android Central følgende erklæring:

"Vi værdsætter, at Bluebox rapporterer denne sårbarhed på ansvarligt vis; tredjepartsundersøgelser er en af ​​måderne, hvor Android gøres stærkere for brugerne. Efter at have modtaget ord om denne sårbarhed, udstedte vi hurtigt en opdatering, der blev distribueret til Android-partnere samt til AOSP Google Play og Verify Apps er også blevet forbedret for at beskytte brugere mod dette problem. På dette tidspunkt har vi scannet alle ansøgninger, der er sendt til Google Play, samt dem, som Google har gennemgået uden for Google Play, og vi har ikke set noget bevis for forsøg udnyttelse af denne sårbarhed."

Sony har også fortalt os, at det arbejder på at skubbe Fake ID-fix ud på dets enheder.