![«Ложный идентификатор» и безопасность Android [обновлено]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "«Ложный идентификатор» и безопасность Android [обновлено]")
Оглавление:
Сегодня компания по исследованию безопасности BlueBox - та же компания, которая обнаружила так называемую уязвимость Android «Мастер Ключ» - объявила об обнаружении ошибки в способе обработки сертификатами идентификации, используемыми для подписи приложений, в Android. Уязвимость, которую BlueBox назвал «Fake ID», позволяет вредоносным приложениям связываться с сертификатами из законных приложений, получая, таким образом, доступ к материалам, к которым у них не должно быть доступа.
Уязвимости безопасности, подобные этой, звучат страшно, и мы уже видели один или два гиперболических заголовка сегодня, когда эта история сломалась. Тем не менее, любая ошибка, которая позволяет приложениям делать то, чего они не должны, является серьезной проблемой. Итак, давайте подведем итог, что происходит в двух словах, что это означает для безопасности Android и стоит ли беспокоиться о …
Обновление: мы обновили эту статью, чтобы отразить подтверждение от Google о том, что и магазин Play Store, и функция «проверить приложения» действительно были обновлены для устранения ошибки Fake ID. Это означает, что подавляющее большинство активных устройств Google Android уже имеют некоторую защиту от этой проблемы, как будет обсуждаться далее в этой статье. Заявление Google в полном объеме можно найти в конце этого поста.
Проблема - хитрые сертификаты
«Фальшивый идентификатор» связан с ошибкой в установщике пакета Android.
Согласно BlueBox, эта уязвимость связана с проблемой в установщике пакетов Android, той части ОС, которая занимается установкой приложений. Установщик пакета явно не проверяет подлинность «цепочек» цифровых сертификатов, что позволяет вредоносному сертификату утверждать, что он был выпущен доверенной стороной. Это проблема, потому что некоторые цифровые подписи предоставляют приложениям привилегированный доступ к некоторым функциям устройства. Например, в Android 2.2-4.3 приложениям с подписью Adobe предоставляется особый доступ к контенту веб-просмотра - требование поддержки Adobe Flash, которое при неправильном использовании может вызвать проблемы. Точно так же подделка подписи приложения, имеющего привилегированный доступ к оборудованию, используемому для безопасных платежей через NFC, может позволить вредоносному приложению перехватывать конфиденциальную финансовую информацию.
Еще более тревожно то, что вредоносный сертификат также может использоваться для олицетворения определенного программного обеспечения для удаленного управления устройствами, такого как 3LM, которое используется некоторыми производителями и предоставляет обширный контроль над устройством.
Как пишет исследователь BlueBox Джефф Фористалл:
«Подписи приложений играют важную роль в модели безопасности Android. Подпись приложения определяет, кто может обновлять приложение, какие приложения могут обмениваться данными и т. Д. Некоторые разрешения, используемые для доступа к функциям, могут использоваться только приложениями, которые имеют та же подпись, что и у создателя разрешения. Что еще интереснее, очень специфические подписи получают особые привилегии в определенных случаях ".
Хотя проблема Adobe / веб-просмотра не влияет на Android 4.4 (поскольку веб-просмотр теперь основан на Chromium, который не имеет тех же хуков Adobe), ошибка установки базового пакета, по-видимому, продолжает влиять на некоторые версии KitKat. В заявлении, переданном Android Central, Google заявил: «Получив известие об этой уязвимости, мы быстро выпустили патч, который был распространен среди партнеров Android, а также для проекта Android Open Source».
Google говорит, что нет никаких доказательств того, что «фальшивый идентификатор» используется в дикой природе.
Учитывая, что BlueBox сообщает об этом Google в апреле, вполне вероятно, что любое исправление будет включено в Android 4.4.3 и, возможно, некоторые исправления безопасности на основе 4.4.2 от OEM-производителей. (Смотрите этот коммит кода - спасибо Anant Shrivastava.) Первоначальное тестирование с собственным приложением BlueBox показывает, что Fake ID не влияет на европейские LG G3, Samsung Galaxy S5 и HTC One M8. Мы связались с основными производителями Android, чтобы выяснить, какие другие устройства были обновлены.
Что касается специфики Fake ID vuln, Forristal говорит, что он больше расскажет о конференции Black Hat Conference в Лас-Вегасе 2 августа. В своем заявлении Google заявил, что он отсканировал все приложения в своем магазине Play Store и некоторые из них размещены на хостинге. в других магазинах приложений, и не нашел никаких доказательств того, что эксплойт использовался в реальном мире.
Решение - исправление ошибок Android с Google Play
Через Сервисы Google Google может эффективно устранить эту ошибку в большинстве активных экосистем Android.
Ложный идентификатор - это серьезная уязвимость безопасности, которая при правильном обращении может позволить злоумышленнику нанести серьезный ущерб. А поскольку основная ошибка недавно была устранена в AOSP, может показаться, что подавляющее большинство телефонов Android открыто для атаки и останется таковым в обозримом будущем. Как мы уже говорили ранее, задача обновления миллиарда или около того активных телефонов Android является огромной проблемой, а «фрагментация» - это проблема, которая встроена в ДНК Android. Но у Google есть козырь для решения таких вопросов безопасности, как Google Play Services.
Так же, как Play Services добавляет новые функции и API, не требуя обновления прошивки, его также можно использовать для устранения дыр в безопасности. Некоторое время назад Google добавил функцию «Проверка приложений» в Сервисы Google Play, чтобы сканировать любые приложения на наличие вредоносного контента перед их установкой. Более того, он включен по умолчанию. В Android 4.2 и выше он живет в Настройки> Безопасность; в более старых версиях вы найдете его в настройках Google> Проверка приложений. Как сказал Сандар Пичаи на Google I / O 2014, 93 процента активных пользователей используют последнюю версию сервисов Google Play. Даже наш древний LG Optimus Vu, работающий под управлением Android 4.0.4 Ice Cream Sandwich, имеет опцию «Проверять приложения» от Play Services, чтобы защитить себя от вредоносных программ.
Google подтвердил в Android Central, что функция «Проверка приложений» и Google Play были обновлены, чтобы защитить пользователей от этой проблемы. Действительно, подобные ошибки безопасности на уровне приложений - именно то, для чего предназначена функция «проверки приложений». Это значительно ограничивает влияние Fake ID на любое устройство, на котором установлена последняя версия Сервисов Google Play - далеко не все устройства Android уязвимы, но действия Google по устранению Fake ID через Play Services эффективно нейтрализовали его еще до того, как проблема стала общедоступной. знания.
Мы узнаем больше, когда информация об ошибке станет доступна в Black Hat. Но поскольку верификатор приложений Google и Play Store могут ловить приложения с помощью Fake ID, утверждение BlueBox о том, что «все пользователи Android с января 2010 года» находятся под угрозой, кажется преувеличенным. (Хотя по общему признанию, пользователи, использующие устройство с не одобренной Google версией Android, остаются в более сложной ситуации.)
Разрешение Play Services выступать в роли привратника - это временное решение, но оно довольно эффективное.
Несмотря на это, тот факт, что Google знает о Fake ID с апреля, крайне маловероятно, что какие-либо приложения, использующие эксплойт, попадут в Play Store в будущем. Как и большинство проблем безопасности Android, самый простой и эффективный способ справиться с Fake ID - это быть умным в отношении того, откуда вы берете свои приложения.
Безусловно, предотвращение уязвимости от эксплуатации - это не то же самое, что ее устранение. В идеальном мире Google сможет установить беспроводное обновление для каждого устройства Android и навсегда устранить эту проблему, как это делает Apple. Разрешение Play Services и Play Store выступать в роли привратников - это временное решение, но, учитывая размер и разветвленную природу экосистемы Android, это довольно эффективное решение.
Это не значит, что многие производители все еще слишком долго выпускают важные обновления безопасности для устройств, особенно менее известных, так как подобные проблемы имеют тенденцию выделяться. Но это намного лучше, чем ничего.
Важно знать о проблемах безопасности, особенно если вы технически подкованный пользователь Android - тот человек, к которому обращаются обычные люди, когда что-то не так с их телефоном. Но это также хорошая идея, чтобы держать вещи в перспективе и помнить, что важна не только уязвимость, но и возможный вектор атаки. В случае экосистемы, контролируемой Google, Play Store и Play Services являются двумя мощными инструментами, с помощью которых Google может обрабатывать вредоносные программы.
Так что будьте в безопасности и оставайтесь умными. Мы будем держать вас в курсе любой дополнительной информации о поддельных идентификаторах от основных производителей Android.
Обновление: представитель Google предоставил Android Central следующее заявление:
«Мы благодарим Bluebox ответственно сообщать нам об этой уязвимости; сторонние исследования - это один из способов сделать Android более сильным для пользователей. Получив известие об этой уязвимости, мы быстро выпустили исправление, которое было распространено среди партнеров Android, а также AOSP. Приложения Google Play и Verify также были улучшены для защиты пользователей от этой проблемы. В настоящее время мы отсканировали все приложения, представленные в Google Play, а также приложения, просмотренные Google за пределами Google Play, и мы не обнаружили никаких доказательств попыток. эксплуатация этой уязвимости ".
Sony также сообщила нам, что работает над распространением исправления Fake ID на свои устройства.
