"Підроблений ідентифікатор" та безпека для Android [оновлено]

Сьогодні фірма з дослідження безпеки BlueBox - та сама компанія, яка виявила так звану вразливість Android "Master Key" - оголосила про виявлення помилки в тому, як Android обробляє посвідчення особи, які використовуються для підпису програм. Уразливість, яку BlueBox назвав "підробленою ідентифікацією", дозволяє зловмисним програмам асоціюватися з сертифікатами законних додатків, таким чином отримуючи доступ до речей, до яких вони не повинні мати доступу.

Уразливості безпеки люблять цей звук страшно, і ми вже бачили один-два гіперболічні заголовки сьогодні, коли ця історія зламана. Тим не менш, будь-яка помилка, яка дозволяє програмам робити те, що їм не належить, є серйозною проблемою. Тож давайте підведемо підсумки, що відбувається в двох словах, що це означає для безпеки Android і чи варто турбуватися про це …

Оновлення: ми оновили цю статтю, щоб відобразити підтвердження від Google, що функція Play Store та "підтвердити програми" дійсно були оновлені, щоб вирішити помилку підроблених ідентифікаторів. Це означає, що переважна більшість активних пристроїв Google Android вже має певний захист від цієї проблеми, про що йшлося далі у статті. Повідомлення Google повністю можна знайти в кінці цієї публікації.

Проблема - сертифікати Dodgy

"Підроблений ідентифікатор" походить від помилки в установці пакету Android.

За словами BlueBox, вразливість випливає з проблеми в програмі встановлення пакету Android, тієї частини ОС, яка обробляє встановлення програм. Мабуть, інсталятор пакету не належним чином перевіряє справжність цифрових сертифікатів "ланцюгів", що дозволяє шкідливому сертифікату стверджувати, що його видав довірена сторона. Це проблема, оскільки певні цифрові підписи надають додаткам привілейований доступ до деяких функцій пристрою. Наприклад, в Android 2.2-4.3 додатки, що мають підпис Adobe, отримують спеціальний доступ до вмісту веб-перегляду - вимога для підтримки Adobe Flash, яка при неправильному використанні може спричинити проблеми. Аналогічно, підробка підпису програми, яка має привілейований доступ до обладнання, яке використовується для безпечних платежів через NFC, може дозволити шкідливому додатку перехоплювати конфіденційну фінансову інформацію.

Більш того, що зловмисний сертифікат також може використовуватися для представлення певного програмного забезпечення для управління віддаленими пристроями, наприклад, 3LM, яке використовується деякими виробниками та надає широкий контроль над пристроєм.

Як пише дослідник BlueBox Джефф Форсталл:

"Підписи програми відіграють важливу роль у моделі безпеки Android. Підпис програми встановлює, хто може оновлювати програму, які програми можуть обмінюватися її даними тощо. Певні дозволи, які використовуються для доступу до функціональних можливостей, використовуються лише програмами, які мають той же підпис, що і автор дозволу. Що цікавіше, дуже специфічним підписам надаються спеціальні пільги в певних випадках ".

Хоча проблема Adobe / Webview не стосується Android 4.4 (оскільки веб-перегляд тепер базується на Chromium, який не має тих самих гаків Adobe), помилка встановлення пакета, яка лежить в основі, продовжує впливати на деякі версії KitKat. У заяві, наданій Android Central Google, йдеться про те, що "отримавши повідомлення про цю вразливість, ми швидко видали патч, який розповсюджувався партнерам Android, а також Проекту з відкритим кодом Android".

Google заявляє, що немає ніяких доказів того, що фальшивий ідентифікатор не використовується в дикій природі.

Зважаючи на те, що BlueBox стверджує, що повідомив Google у квітні, ймовірно, що будь-яке виправлення буде включено в Android 4.4.3 та, можливо, деякі виправлення безпеки на базі 4.4.2 на базі безпеки. (Дивіться цю прихильність коду - дякую Ананту Шріваставі.) Первісне тестування за допомогою власної програми BlueBox показує, що підроблені ідентифікатори не впливають на європейські LG G3, Samsung Galaxy S5 та HTC One M8. Ми звернулися до основних OEM-виробників Android, щоб з’ясувати, які ще пристрої були оновлені.

Що стосується специфіки фальшивого посвідчення фальшивих ідентифікаторів, Forristal каже, що він розкриє більше про це на конференції Black Hat у Лас-Вегасі 2 серпня. У своїй заяві Google заявив, що сканував усі додатки в Play Store, а деякі розмістили в інших магазинах додатків, і не знайдено жодних доказів того, що цей подвиг використовувався в реальному світі.

Рішення - виправлення помилок Android за допомогою Google Play

Завдяки Play Services Google може ефективно використати цю помилку в більшості активних екосистем Android.

Підроблений ідентифікатор - це серйозна вразливість безпеки, яка при правильному націленні може зловмиснику нанести серйозну шкоду. Оскільки останній помилка лише нещодавно розглядався в AOSP, може здатися, що переважна більшість телефонів Android піддається атаці, і залишиться такою в осяжному майбутньому. Як ми вже обговорювали раніше, завдання поновити мільярд або настільки активних телефонів Android є величезною проблемою, а "фрагментація" - проблема, вбудована в ДНК Android. Але в Google є козир, який потрібно грати, якщо вирішувати такі проблеми безпеки - Google Play Services.

Так як Play Services додає нові функції та API, не вимагаючи оновлення мікропрограмного забезпечення, його також можна використовувати для підключення отворів у безпеці. Деякий час тому Google додав функцію "перевірити додатки" до служб Google Play як спосіб сканування будь-яких програм на наявність шкідливого вмісту перед їх встановленням. Більше того, він увімкнено за замовчуванням. В Android 4.2 і вище він працює в розділі Налаштування> Безпека; на старих версіях ви знайдете його в Налаштуваннях Google> Підтвердити програми. Як заявила Сундар Пічай в Google I / O 2014, 93% активних користувачів перебувають на останній версії сервісів Google Play. Навіть наш стародавній LG Optimus Vu, на якому працює Android 4.0.4 Ice Cream Sandwich, має опцію «перевірити програми» від Play Services, щоб захистити від зловмисного програмного забезпечення.

Google підтвердив для Android Central, що функцію "перевірити додатки" та Google Play було оновлено, щоб захистити користувачів від цієї проблеми. Дійсно, такі помилки безпеки на рівні додатків - це саме те, з чим розроблена функція "перевірити програми". Це суттєво обмежує вплив підробленого ідентифікатора на будь-який пристрій, який працює в сучасній версії Служб Google Play - далеко не всі вразливі пристрої Android, дії Google щодо вирішення фальшивих ідентифікаторів через Play Services ефективно скасували його до того, як проблема навіть стала загальнодоступною. знання.

Ми дізнаємось більше, коли інформація про помилку стане доступною у Black Hat. Але оскільки верифікатор додатків Google і Play Store можуть захоплювати програми, використовуючи Fake ID, твердження BlueBox про те, що "всі користувачі Android з січня 2010 року" піддаються небезпеці. (Хоча, правда, користувачі, які працюють на пристрої з версією Android, не затвердженою Google, залишаються в більш жорсткій ситуації.)

Дозволити Play Services виконувати функції воротаря - це рішення, що зупиняється, але це досить ефективно.

Незалежно від того, що Google знає про підроблений ідентифікатор з квітня, це робить малоймовірним, що будь-які додатки, що використовують цей подвиг, в майбутньому перейдуть на Play Store. Як і більшість питань безпеки Android, найпростіший та найефективніший спосіб вирішити проблему з підробленим ідентифікатором - бути розумним щодо того, звідки ви отримуєте свої програми.

Напевно, зупинити вразливість від експлуатації - це не те саме, що усунути її взагалі. В ідеальному світі Google міг би натиснути оновлення в ефір на кожен Android-пристрій і назавжди усунути проблему, як це робить Apple. Дозволити Play Services і Play Store виконувати функції воротаря - це рішення, що зупиняється, але, враховуючи розмір та розширений характер екосистеми Android, це досить ефективно.

Немає сенсу, що багато виробників все ще забирають занадто довго, щоб висунути важливі оновлення безпеки пристроїв, особливо менш відомих, оскільки такі проблеми, як правило, виділяються. Але це набагато краще, ніж нічого.

Важливо пам’ятати про проблеми безпеки, особливо якщо ви користуєтеся користувачем Android з розумом - такі люди, до яких звичайні люди звертаються за допомогою, коли щось не вдається зі своїм телефоном. Але це також гарна ідея зберігати речі в перспективі та пам’ятати, що важлива не лише вразливість, але й можливий вектор атаки. У випадку екосистеми, що контролюється Google, Play Store та Play Services - це два потужні інструменти, за допомогою яких Google може обробляти шкідливі програми.

Тож будьте в безпеці та будьте розумні. Ми будемо тримати вас у курсі будь-якої додаткової інформації про підроблений ідентифікатор від основних виробників виробників Android.

Оновлення: речник Google надав Android Central наступне твердження:

"Ми цінуємо Bluebox відповідально повідомляючи нам про цю вразливість; дослідження сторонніх розробників - це один із способів посилення Android для користувачів. Після отримання такої вразливості ми швидко видали патч, який розповсюджувався партнерам Android, а також AOSP Додатки Google Play і Verify також були вдосконалені для захисту користувачів від цієї проблеми. На даний момент ми просканували всі програми, подані в Google Play, а також ті, які Google перевірив за межами Google Play, і ми не бачили жодних доказів спроб. експлуатація цієї вразливості ".

Компанія Sony також повідомила нам, що працює над витісненням виправлень Fake ID на свої пристрої.