'Fake id' at seguridad sa android [na-update]

Ngayon security firm firm BlueBox - ang parehong kumpanya na walang takip ang tinatawag na Android "Master Key" na kahinaan - ay inihayag ang pagtuklas ng isang bug sa paraan na pinangangasiwaan ng Android ang mga sertipiko ng pagkakakilanlan na ginamit upang mag-sign ng mga aplikasyon. Ang kahinaan, na tinawag ng BlueBox na "Fake ID, " ay nagbibigay-daan sa mga nakakahamak na apps na iugnay ang kanilang mga sarili sa mga sertipiko mula sa mga lehitimong apps, sa gayon nakakakuha ng access sa mga bagay na hindi nila dapat ma-access.

Ang mga kahinaan sa seguridad tulad ng tunog na nakakatakot na ito, at nakita na namin ang isa o dalawang mga hyperbolic headlines ngayon dahil ang kwentong ito ay nasira. Gayunpaman, ang anumang bug na nagpapahintulot sa mga app na gawin ang mga bagay na hindi nila dapat maging isang malubhang problema. Kaya't ipagsumite natin kung ano ang nangyayari sa madaling sabi, kung ano ang kahulugan nito para sa seguridad ng Android, at kung nagkakahalaga ng pag-aalala tungkol sa …

Update: Na-update namin ang artikulong ito upang ipakita ang kumpirmasyon mula sa Google na pareho ang tampok na Play Store at "i-verify ang mga app" ay na-update upang matugunan ang Fake ID bug. Nangangahulugan ito na ang karamihan sa mga aktibong aparato ng Google Android ay mayroon nang proteksyon mula sa isyung ito, tulad ng napag-usapan sa ibang artikulo. Ang pahayag ng Google nang buo ay matatagpuan sa dulo ng post na ito.

Ang problema - Mga sertipiko ng Dodgy

Nagmula ang 'Fake ID' mula sa isang bug sa installer ng package ng Android.

Ayon sa BlueBox, ang kahinaan ay nagmumula sa isang isyu sa installer ng package ng Android, ang bahagi ng OS na humahawak sa pag-install ng mga app. Ang package installer ay tila hindi wastong napatunayan ang pagiging tunay ng mga digital chain na "chain, " na nagpapahintulot sa isang malisyosong sertipiko na mag-claim na ito ay inisyu ng isang pinagkakatiwalaang partido. Iyon ay isang problema dahil ang ilang mga digital na lagda ay nagbibigay ng mga pribilehiyo na ma-access ang mga app sa ilang mga pag-andar ng aparato. Sa Android 2.2-4.3, halimbawa, ang mga app na nagdadala ng lagda ng Adobe ay binibigyan ng espesyal na pag-access sa nilalaman ng webview - isang kinakailangan para sa suporta ng Adobe Flash na kung ang maling paggamit ay maaaring maging sanhi ng mga problema. Katulad nito, ang pagwawasto ng pirma ng isang app na may pribilehiyong pag-access sa hardware na ginamit para sa ligtas na pagbabayad sa NFC ay maaaring hayaan ang isang nakakahamak na app na humarang sa sensitibong impormasyon sa pananalapi.

Mas nakakabahala, ang isang nakakahamak na sertipiko ay maaari ring magamit upang ibigay ang ilang mga malayuang software sa pamamahala ng aparato, tulad ng 3LM, na ginagamit ng ilang mga tagagawa at nagbibigay ng malawak na kontrol sa isang aparato.

Tulad ng isinusulat ng mananaliksik ng BlueBox na si Jeff Foristall:

"Ang mga lagda ng aplikasyon ay gumaganap ng isang mahalagang papel sa modelo ng seguridad ng Android. Ang isang lagda ng application ay nagtatatag kung sino ang maaaring mag-update ng application, kung anong mga application ang maibabahagi nito ang data, atbp. Ang ilang mga pahintulot, na ginamit upang ma-access ang gate, ay magagamit lamang ng mga aplikasyon na mayroong ang parehong lagda bilang tagalikha ng pahintulot. Mas kawili-wili, napaka-tiyak na lagda ay bibigyan ng mga espesyal na pribilehiyo sa ilang mga kaso."

Habang ang isyu sa Adobe / webview ay hindi nakakaapekto sa Android 4.4 (dahil ang webview ay nakabase sa Chromium, na hindi magkatulad ng mga kawit ng Adobe), ang pinagbabatayan ng bug ng installer ng pakete ay tila patuloy na nakakaapekto sa ilang mga bersyon ng KitKat. Sa isang pahayag na ibinigay sa Android Central Google ay nagsabi, "Matapos matanggap ang salita ng kahinaan na ito, mabilis kaming naglabas ng isang patch na ipinamahagi sa mga kasosyo sa Android, pati na rin sa Proyekto ng Buksan ng Android."

Sinabi ng Google na walang katibayan na 'Fake ID' ang sinasamantala sa ligaw.

Dahil sa sinabi ng BlueBox na ipinaalam nito sa Google noong Abril, malamang ang anumang pag-aayos ay isasama sa Android 4.4.3, at marahil ng ilang mga 4.4.2 na nakabatay sa mga security patch mula sa OEM. (Tingnan ang code na ito gumawa - salamat Anant Shrivastava.) Paunang pagsusuri sa sariling app ng BlueBox ay nagpapakita na ang European LG G3, Samsung Galaxy S5 at HTC One M8 ay hindi apektado ng Fake ID. Naabot namin ang mga pangunahing OEM ng Android upang malaman kung aling iba pang mga aparato ang na-update.

Tulad ng para sa mga detalye ng Fake ID buln, sinabi ni Forristal na ibubunyag niya ang higit pa tungkol sa Black Hat Conference sa Las Vegas sa Agosto 2. Sa pahayag nito, sinabi ng Google na na-scan nito ang lahat ng mga app sa Play Store, at ilang host sa iba pang mga tindahan ng app, at walang nakitang katibayan na ang pagsasamantala ay ginagamit sa totoong mundo.

Ang solusyon - Pag-aayos ng mga bug ng Android sa Google Play

Sa pamamagitan ng Mga Serbisyo sa Play, mabisang epektibo sa Google ang bug na ito sa buong karamihan ng aktibong ekosistema ng Android.

Ang Fake ID ay isang malubhang kahinaan sa seguridad na kung maayos na naka-target ay maaaring payagan ang isang umaatake na gumawa ng malubhang pinsala. At dahil ang pinagbabatayan na bug ay kamakailan lamang ay nakausap sa AOSP, maaaring lumitaw na ang malaking karamihan ng mga telepono sa Android ay bukas na atakihin, at mananatili ito para sa mahulaan na hinaharap. Tulad ng napag-usapan namin dati, ang gawain ng pagkuha ng bilyon o sobrang aktibo na mga teleponong Android na na-update ay isang napakalaking hamon, at ang "fragmentation" ay isang problema na binuo sa DNA ng Android. Ngunit ang Google ay may isang tramp card upang i-play kapag nakikitungo sa mga isyu sa seguridad tulad nito - Mga Serbisyo sa Google Play.

Tulad ng pagdaragdag ng Mga Serbisyo sa Play ng mga bagong tampok at API nang hindi nangangailangan ng pag-update ng firmware, maaari rin itong magamit upang mag-plug ng mga butas sa seguridad. Ilang oras na ang nakararaan ang Google ay nagdagdag ng tampok na "i-verify ang mga app" sa Mga Serbisyo ng Google Play bilang isang paraan upang mai-scan ang anumang mga app para sa nakakahamak na nilalaman bago nila mai-install. Ano pa, naka-on ito bilang default. Sa Android 4.2 at pataas ito ay nakatira sa ilalim ng Mga Setting> Seguridad; sa mga mas lumang bersyon makikita mo ito sa ilalim ng Mga Setting ng Google> I-verify ang mga app. Tulad ng sinabi ni Sundar Pichai sa Google I / O 2014, 93 porsyento ng mga aktibong gumagamit ay nasa pinakabagong bersyon ng mga serbisyo ng Google Play. Kahit na ang aming sinaunang LG Optimus Vu, na tumatakbo sa Android 4.0.4 Ice Cream Sandwich, ay may opsyon na "i-verify ang app" mula sa Mga Serbisyo sa Play upang magbantay laban sa malware.

Kinumpirma ng Google sa Android Central na ang tampok na "verify apps" at na-update ang Google Play upang maprotektahan ang mga gumagamit mula sa isyung ito. Sa katunayan, ang mga bug ng seguridad sa antas ng app na ito ay eksakto kung ano ang tampok na "i-verify ang mga app" na idinisenyo upang harapin. Ito ay makabuluhang nililimitahan ang epekto ng Fake ID sa anumang aparato na nagpapatakbo ng isang napapanahon na bersyon ng Mga Serbisyo ng Google Play - malayo sa lahat ng mga aparatong Android ay mahina, ang aksyon ng Google upang matugunan ang Fake ID sa pamamagitan ng Mga Serbisyo ng Play na epektibong maisagawa ito bago ang isyu kahit na naging pampubliko kaalaman.

Malalaman namin ang higit pa kapag magagamit ang impormasyon sa bug sa Black Hat. Ngunit dahil ang verifier ng Google ng app at Play Store ay maaaring mahuli ang mga app gamit ang Fake ID, ang pag-angkin ng BlueBox na "lahat ng mga gumagamit ng Android mula noong Enero 2010" ay nasa panganib ay tila pinalaki. (Bagaman tinatanggap, ang mga gumagamit na nagpapatakbo ng isang aparato na may hindi na-aprubahan na bersyon ng Android ng Android ay naiwan sa isang sitwasyon na mas sticker.)

Ang pagpapaalam sa Mga Serbisyo sa Pag-play ay gumaganap bilang gatekeeper ay isang solusyon ng stopgap, ngunit ito ay medyo epektibo.

Anuman, ang katotohanan na ang Google ay may kamalayan sa Fake ID mula noong Abril ay lubos na hindi malamang na ang anumang mga app na gumagamit ng pagsasamantala ay gagawing papunta sa Play Store sa hinaharap. Tulad ng karamihan sa mga isyu sa seguridad ng Android, ang pinakamadali at epektibong paraan upang makitungo sa Fake ID ay maging matalino tungkol sa kung saan nakuha mo ang iyong mga app.

Tiyak, ang pagtigil ng isang kahinaan mula sa sinasamantala ay hindi kapareho ng pagtanggal nito nang buo. Sa isang mainam na mundo ay maaaring itulak ng Google ang isang over-the-air update sa bawat aparato ng Android at maalis ang isyu magpakailanman, tulad ng ginagawa ng Apple. Ang pagpapaalam sa Mga Serbisyo sa Pag-play at ang Play Store na kumikilos bilang mga gatekeepers ay isang solusyon sa paghinto, ngunit binibigyan ang laki at nakasisilaw na kalikasan ng ekosistema ng Android, ito ay medyo epektibo.

Hindi ginawang OK na maraming mga tagagawa ang naglalakad pa rin nang masyadong matagal upang itulak ang mga mahalagang pag-update ng seguridad sa mga aparato, lalo na ang mga mas maliit na kilala, dahil ang mga isyu tulad nito ay may posibilidad na i-highlight. Ngunit ito ay mas mahusay kaysa sa wala.

Mahalagang malaman ang mga isyu sa seguridad, lalo na kung ikaw ay isang tech-savvy na gumagamit ng Android - ang uri ng tao na regular na tao ay humingi ng tulong kapag may mali sa kanilang telepono. Ngunit mahusay din na mapanatili ang pananaw sa mga bagay, at tandaan na hindi lamang ang kahinaan na mahalaga, kundi pati na rin ang posibleng pag-atake ng vector. Sa kaso ng ekosistema na kinokontrol ng Google, ang Play Store at Play Services ay dalawang makapangyarihang tool na maaaring hawakan ng Google ang malware.

Kaya manatiling ligtas at manatiling matalino. Patuloy kaming na-post sa anumang karagdagang impormasyon sa Fake ID mula sa mga pangunahing OEM ng Android.

Update: Isang tagapagsalita ng Google ang nagbigay ng Android Central sa sumusunod na pahayag:

"Pinahahalagahan namin ang Bluebox na responsable na nag-uulat ng kahinaan sa amin; ang pananaliksik ng third party ay isa sa mga paraan na ang Android ay ginawang mas malakas para sa mga gumagamit. Matapos matanggap ang salita ng kahinaan na ito, mabilis kaming naglabas ng isang patch na ipinamahagi sa mga kasosyo sa Android, pati na rin sa AOSP Ang Google Play at I-verify ang Mga Apps ay napahusay din upang maprotektahan ang mga gumagamit mula sa isyung ito.Sa oras na ito, na-scan namin ang lahat ng mga aplikasyon na isinumite sa Google Play pati na rin ang mga nasuri ng Google mula sa labas ng Google Play at wala kaming nakitang katibayan ng pagtatangka. pagsasamantala ng kahinaan na ito."

Sinabi rin sa amin ng Sony na nagtatrabaho sa pagtulak ng Fake ID fix sa mga aparato nito.