'ID palsu' dan keselamatan android [dikemaskini]

Firma penyelidikan keselamatan hari ini BlueBox - syarikat yang sama yang mendedahkan apa yang dipanggil Android "Master Key" kelemahan - telah mengumumkan penemuan pepijat dalam cara Android mengendalikan sijil identiti yang digunakan untuk menandatangani aplikasi. Kerentanan, yang BlueBox telah dijuluki sebagai "ID Palsu, " membenarkan aplikasi berniat jahat untuk mengaitkan diri dengan sijil dari aplikasi yang sah, sehingga memperoleh akses ke barang-barang yang tidak seharusnya mereka akses.

Kelemahan keselamatan seperti bunyi yang menakutkan ini, dan kami telah melihat satu atau dua tajuk utama hiperbola hari ini kerana cerita ini telah pecah. Walau bagaimanapun, apa-apa pepijat yang membolehkan aplikasi melakukan perkara-perkara yang mereka tidak sepatutnya adalah masalah yang serius. Jadi, mari kita ringkaskan apa yang sedang terjadi secara ringkas, apakah maksudnya untuk keselamatan Android, dan sama ada ia perlu dibimbangkan …

Kemas kini: Kami telah mengemas kini artikel ini untuk menunjukkan pengesahan dari Google bahawa ciri Play Store dan "mengesahkan aplikasinya" telah dikemas kini untuk menangani bug ID Fake. Ini bermakna sebahagian besar peranti Google Android yang aktif sudah mempunyai beberapa perlindungan daripada masalah ini, seperti dibincangkan kemudian dalam artikel. Kenyataan Google sepenuhnya dapat dijumpai pada akhir jawatan ini.

Masalahnya - Sijil licik

'Palsu ID' berasal dari pepijat dalam pemasang pakej Android.

Menurut BlueBox, kelemahan itu berpunca daripada masalah dalam pemasang pakej Android, bahagian OS yang mengendalikan pemasangan aplikasi. Pemasang pakej nampaknya tidak mengesahkan kesahihan perakuan digital "rantai, " yang membenarkan sijil berniat jahat menuntut ia telah dikeluarkan oleh pihak yang dipercayai. Itu masalah kerana tandatangan digital tertentu memberikan akses ke akses ke beberapa fungsi peranti. Dengan Android 2.2-4.3, contohnya, aplikasi yang mengandungi tandatangan Adobe diberikan akses khusus kepada kandungan webview - keperluan untuk sokongan Adobe Flash yang jika disalahgunakan boleh menyebabkan masalah. Begitu juga, spoofing tandatangan aplikasi yang mempunyai akses istimewa ke perkakasan yang digunakan untuk pembayaran yang selamat melalui NFC mungkin membiarkan aplikasi berniat jahat memintas maklumat kewangan yang sensitif.

Lebih mengkhawatirkan, sijil jahat juga boleh digunakan untuk meniru perisian pengurusan peranti jauh tertentu, seperti 3LM, yang digunakan oleh beberapa pengeluar dan memberikan kawalan yang luas ke atas peranti.

Sebagai penyelidik BlueBox, Jeff Foristall menulis:

"Tandatangan aplikasi memainkan peranan penting dalam model keselamatan Android. Tandatangan aplikasi menetapkan siapa yang boleh mengemas kini aplikasi, aplikasi apa yang boleh berkongsi data itu, dan sebagainya. Kebenaran tertentu yang digunakan untuk memasuki akses ke fungsi, hanya boleh digunakan oleh aplikasi yang mempunyai tandatangan yang sama sebagai pencipta kebenaran. Lebih menarik lagi, tandatangan yang sangat khusus diberikan keistimewaan khusus dalam kes tertentu."

Walaupun terbitan Adobe / webview tidak menjejaskan Android 4.4 (kerana pandangan web kini berdasarkan Chromium, yang tidak mempunyai cangkuk Adobe yang sama), bug pemasang paket yang mendasar nampaknya terus memberi kesan kepada beberapa versi KitKat. Dalam satu kenyataan yang diberikan kepada Google Android Central, berkata, "Setelah menerima kata kelemahan ini, kami dengan cepat mengeluarkan patch yang diedarkan kepada rakan Android, serta Projek Sumber Terbuka Android."

Google mengatakan tidak ada bukti 'ID Palsu' yang dieksploitasi di alam liar.

Memandangkan BlueBox mengatakan ia memaklumkan kepada Google pada bulan April, kemungkinan pembetulan itu akan dimasukkan dalam Android 4.4.3, dan mungkin beberapa patch keselamatan berasaskan 4.4.2 dari OEM. (Lihat kod ini komited - terima kasih Anant Shrivastava.) Pengujian awal dengan aplikasi BlueBox sendiri menunjukkan bahawa LG G3, Samsung Galaxy S5 dan HTC One M8 Eropah tidak terjejas oleh ID Palsu. Kami telah menjangkau OEM utama untuk mengetahui peranti lain yang telah dikemas kini.

Bagi spesifikasi palsu ID Fake, Forristal berkata dia akan mendedahkan lebih banyak lagi mengenai Persidangan Black Hat di Las Vegas pada 2 Ogos. Dalam kenyataannya, Google berkata ia telah mengimbas semua aplikasi di Play Store dan beberapa host di kedai aplikasi lain, dan tidak mendapati bukti bahawa eksploit digunakan di dunia nyata.

Penyelesaian - Memperbaiki pepijat Android dengan Google Play

Melalui Perkhidmatan Main, Google secara berkesan boleh menyahaktifkan pepijat ini merentas kebanyakan ekosistem Android aktif.

ID palsu adalah kelemahan keselamatan serius yang jika disasarkan dengan betul dapat membolehkan penyerang melakukan kerosakan yang serius. Dan kerana bug yang mendasarinya baru-baru ini telah ditangani di AOSP, mungkin kelihatan bahawa majoriti telefon Android terbuka untuk menyerang, dan akan tetap demikian untuk masa depan yang dapat diramalkan. Seperti yang telah kami bincangkan sebelum ini, tugas untuk mendapatkan telefon pintar yang dikemas kini atau yang aktif adalah satu cabaran besar, dan "fragmentasi" adalah masalah yang dibina dalam DNA Android. Tetapi Google mempunyai kad truf untuk dimainkan ketika berurusan dengan masalah keamanan seperti ini - Layanan Google Play.

Sama seperti Perkhidmatan Main menambah ciri-ciri baru dan API tanpa memerlukan kemas kini firmware, ia juga boleh digunakan untuk memalamkan lubang keselamatan. Beberapa ketika dahulu Google menambah ciri "mengesahkan aplikasinya" ke Perkhidmatan Google Play sebagai cara untuk mengimbas sebarang aplikasi untuk kandungan berniat jahat sebelum dipasang. Terlebih lagi, ia diaktifkan secara lalai. Dalam Android 4.2 dan ke atas ia tinggal di bawah Tetapan> Keselamatan; pada versi yang lebih lama, anda akan dapati di bawah Tetapan Google> Sahkan apl. Seperti yang dikatakan Sundar Pichai di Google I / O 2014, 93 peratus pengguna aktif berada pada versi terkini perkhidmatan Google Play. Malah, LG Optimus Vu kuno kami, yang menjalankan Android 4.0.4 Ice Cream Sandwich, mempunyai pilihan "mengesahkan aplikasi" dari Perkhidmatan Main untuk menjaga keselamatan terhadap perisian hasad.

Google telah mengesahkan kepada Android Central bahawa ciri "sahkan aplikasi" dan Google Play telah dikemas kini untuk melindungi pengguna daripada isu ini. Malah, pepijat keselamatan tahap aplikasi seperti ini adalah tepat apa ciri "mengesahkan aplikasinya" direka bentuk untuk menangani. Ini mengehadkan kesan ID Palsu pada mana-mana peranti yang menjalankan versi Perkhidmatan Google Play yang terkini - jauh dari semua peranti Android yang terdedah, tindakan Google untuk menangani ID Palsu melalui Perkhidmatan Main dengan berkesan menyingkirkannya sebelum isu itu menjadi awam pengetahuan.

Kami akan mengetahui lebih lanjut apabila maklumat tentang bug boleh didapati di Black Hat. Tetapi kerana pengesah aplikas Google dan Play Store boleh menangkap aplikasi menggunakan ID Palsu, tuntutan BlueBox bahawa "semua pengguna Android sejak Januari 2010" berisiko kelihatan dibesar-besarkan. (Walaupun diakui, pengguna yang menjalankan peranti dengan versi Android yang tidak diluluskan Google dibiarkan dalam situasi yang lebih lengket.)

Membiarkan Perkhidmatan Main bertindak sebagai penjaga pintu adalah penyelesaian stopgap, tetapi ia sangat berkesan.

Tidak kira, hakikat bahawa Google telah mengetahui ID Palsu sejak April menjadikannya sangat tidak mungkin bahawa apa-apa aplikasi yang menggunakan eksploit akan menjadikannya di Play Store pada masa akan datang. Seperti kebanyakan masalah keselamatan Android, cara yang paling mudah dan paling berkesan untuk menangani ID Palsu adalah pintar tentang tempat anda mendapatkan apl anda.

Pasti, menghentikan kerentanan daripada dieksploitasi tidak sama seperti menghilangkannya sama sekali. Di dunia yang ideal, Google akan dapat mengetengahkan kemas kini yang disiarkan ke setiap peranti Android dan menghapuskan masalah selamanya, sama seperti Apple. Letting Play Services dan Play Store yang bertindak sebagai penjaga gerbang adalah penyelesaian stopgap, tetapi memandangkan saiz dan sifat yang luas dari ekosistem Android, itu sangat berkesan.

Ia tidak membuat OK bahawa banyak pengeluar masih terlalu lama untuk menolak kemas kini keselamatan penting kepada peranti, terutamanya yang kurang dikenali, kerana isu-isu seperti ini cenderung menyerlahkan. Tetapi ia lebih baik daripada apa-apa.

Penting untuk mengetahui masalah keselamatan, terutamanya jika anda seorang pengguna Android yang berteknologi tinggi - jenis orang biasa yang beralih kepada bantuan apabila terdapat masalah dengan telefon mereka. Tetapi ia juga merupakan idea yang baik untuk menjaga perkara dalam perspektif, dan ingat bahawa ia bukan hanya kerentanan yang penting, tetapi juga kemungkinan vektor serangan. Dalam kes ekosistem yang dikawal Google, Play Store dan Play Services adalah dua alat yang berkuasa di mana Google boleh mengendalikan perisian hasad.

Jadi tetap aman dan tetap pintar. Kami akan memaklumkan anda dengan maklumat lanjut mengenai ID Palsu dari OEM utama OEM.

Kemas kini: Jurucakap Google telah menyediakan Android Central dengan pernyataan berikut:

"Kami menghargai Bluebox bertanggungjawab melaporkan kelemahan ini kepada kami, penyelidikan pihak ketiga adalah salah satu cara Android dibuat lebih kuat untuk pengguna. Setelah menerima kata kelemahan ini, kami dengan cepat mengeluarkan patch yang diedarkan kepada rakan Android, dan juga kepada AOSP Aplikasi Google Play dan Mengesahkan juga telah dipertingkatkan untuk melindungi pengguna daripada isu ini. Pada masa ini, kami telah mengimbas semua aplikasi yang diserahkan kepada Google Play serta Google telah menyemak dari luar Google Play dan kami tidak melihat bukti percubaan eksploitasi kelemahan ini."

Sony juga memberitahu kami ia sedang berusaha untuk menolak pembetulan ID Palsu kepada perantinya.