'Sahte kimliği' ve android güvenliği [güncellendi]

Bugün, Android "Master Key" güvenlik açığını açıklayan aynı şirket olan güvenlik araştırma şirketi BlueBox, Android'in uygulamaları imzalamak için kullanılan kimlik sertifikalarını işleme biçiminde bir hata keşfettiğini duyurdu. BlueBox'un "Sahte Kimliği" olarak adlandırdığı güvenlik açığı, kötü amaçlı uygulamaların kendilerini yasal uygulamalardan alınan sertifikalarla ilişkilendirmelerine izin verir, böylece erişemeyecekleri öğelere erişirler.

Bu ses korkutucu gibi güvenlik açıkları ve bugün bu hikaye kırıldığı için bir veya iki hiperbolik başlık gördük. Bununla birlikte, uygulamaların olması gerekmeyen şeyleri yapmalarını sağlayan herhangi bir hata ciddi bir sorundur. Öyleyse özetle neler olup bittiğini, Android güvenliği için ne anlama geldiğini ve endişelenmeye değer olup olmadığını özetleyelim …

Güncelleme: Bu makaleyi Google’dan, hem Google Play Store’da hem de "uygulamaları doğrula" özelliğinin Sahte Kimlik hatalarını gidermek üzere güncellendiğini doğrulamak için güncelledik. Bu, etkin Google Android cihazlarının büyük çoğunluğunun, daha sonra makalede tartışıldığı gibi, bu sorundan zaten bir miktar korumaya sahip olduğu anlamına gelir. Google’ın ifadesini tam olarak bu gönderinin sonunda bulabilirsiniz.

Sorun - Çok tehlikeli sertifikalar

'Sahte Kimlik' Android paket yükleyicisindeki bir hatadan kaynaklanıyor.

BlueBox’a göre, güvenlik açığı, işletim sisteminin uygulamaların yüklenmesini sağlayan kısmı olan Android paket yükleyicisindeki bir sorundan kaynaklanıyor. Paket yükleyici, kötü niyetli bir sertifikanın güvenilir bir tarafça verildiğini iddia etmesine izin veren dijital sertifika "zincirlerinin" orijinalliğini doğru bir şekilde doğrulamıyor. Bu bir problem çünkü bazı dijital imzalar uygulamalara bazı cihaz fonksiyonlarına ayrıcalıklı erişim sağlıyor. Örneğin, Android 2.2-4.3'te Adobe imzasını taşıyan uygulamalara web görünümü içeriğine özel erişim izni verilir - Adobe Flash desteğinin kötüye kullanılması durumunda sorunlara neden olabileceği şartı. Benzer şekilde, NFC üzerinden güvenli ödemeler için kullanılan donanıma erişim hakkına sahip bir uygulamanın imzasını taklit etmek, kötü niyetli bir uygulamanın hassas finansal bilgileri engellemesine izin verebilir.

Daha endişe verici bir şekilde, bazı üreticiler tarafından kullanılan ve bir cihaz üzerinde kapsamlı kontrol sağlayan 3LM gibi bazı uzak cihaz yönetim yazılımlarını taklit etmek için kötü niyetli bir sertifika da kullanılabilir.

BlueBox araştırmacısı Jeff Foristall'in yazdığı gibi:

"Uygulama imzaları Android güvenlik modelinde önemli bir rol oynar. Bir uygulamanın imzası, uygulamayı kimin güncelleyebileceğini, hangi uygulamaların verilerini paylaşabileceğini vb. Belirler. İşlevselliğe erişimi engellemek için kullanılan bazı izinler, yalnızca izin yaratıcısıyla aynı imza. Daha ilginç olanı, çok özel imzalara bazı durumlarda özel ayrıcalıklar verilir."

Adobe / webview sorunu Android 4.4'ü etkilemese de (web görünümü şu anda aynı Adobe kancalarına sahip olmayan Chromium'u temel aldığından), altta yatan paket yükleyici hatası görünüşte KitKat'ın bazı sürümlerini etkilemeye devam ediyor. Android Central Google’a verilen bir bildiride, "Bu güvenlik açığından haberdar olduktan sonra, Android ortaklarına ve Android Açık Kaynak Projesi'ne dağıtılan bir düzeltme eki yayınladık."

Google, 'Sahte Kimlik'in vahşi doğada istismar edildiğine dair bir kanıt olmadığını söylüyor.

BlueBox’un Google’a nisan ayında bilgi verdiğini söylediği göz önüne alındığında, Android 4.4.3’te herhangi bir düzeltmenin ve muhtemelen OEM’lerin 4.4.2 tabanlı bazı güvenlik düzeltme eklerinin eklenmesi olası. (Bu kodun işlendiğine bakınız - teşekkürler Anant Shrivastava.) BlueBox'un kendi uygulamasıyla yapılan ilk test, Avrupa LG G3, Samsung Galaxy S5 ve HTC One M8'in Fake ID'den etkilenmediğini gösteriyor. Hangi cihazların güncellendiğini bulmak için büyük Android OEM'lerine ulaştık.

Fake ID vuln'in özelliklerine gelince, Forristal Ağustos'ta Las Vegas'taki Black Hat Konferansı hakkında daha fazla bilgi vereceğini söyledi. 2. Açıklamada, Google Play Store'daki tüm uygulamaları taradığını ve bazılarının barındırıldığını söyledi Diğer uygulama mağazalarında ve istismarın gerçek dünyada kullanıldığına dair hiçbir kanıt bulunamadı.

Çözüm - Google Play'de Android hatalarını düzeltme

Google Play Services sayesinde, aktif Android ekosisteminin çoğunda bu hatayı etkili bir şekilde kısaltabilir.

Sahte Kimlik, doğru bir şekilde hedeflendiğinde bir saldırganın ciddi hasar vermesine izin verebilecek ciddi bir güvenlik açığıdır. Altta yatan hata AOSP’de henüz son zamanlarda ele alındığından, Android telefonların büyük çoğunluğunun saldırıya açık olduğu ve öngörülebilir bir gelecek için öyle kalacağı görülebilir. Daha önce tartıştığımız gibi, milyarlarca aktif Android telefonunun güncellenmesi görevi muazzam bir zorluk ve "parçalanma" Android'in DNA'sına dahil edilmiş bir sorundur. Ancak Google, bunun gibi güvenlik sorunlarıyla uğraşırken oynayacak bir koz kartına sahiptir - Google Play Hizmetleri.

Play Services, bir ürün yazılımı güncellemesi gerektirmeden yeni özellikler ve API'ler eklediğinde, güvenlik deliklerini kapatmak için de kullanılabilir. Bir süre önce Google, herhangi bir uygulamayı yüklenmeden önce kötü amaçlı içeriğe karşı taramanın bir yolu olarak Google Play Hizmetlerine bir "uygulamaları doğrula" özelliği ekledi. Dahası, varsayılan olarak açıktır. Android 4.2 ve üzeri sürümlerde Ayarlar> Güvenlik; eski sürümlerde, Google Ayarları> Uygulamaları doğrula altında bulabilirsiniz. Sundar Pichai’nin Google I / O 2014’te dediği gibi, aktif kullanıcıların yüzde 93’ü Google Play hizmetlerinin en son sürümünde. Android 4.0.4 Dondurmalı Sandviç çalıştıran eski LG Optimus Vu bile kötü amaçlı yazılımlara karşı korunmak için Play Services'ın "uygulamaları doğrula" seçeneğine sahip.

Google, Android Central’a, kullanıcıları bu sorundan korumak için "uygulamaları doğrula" özelliğinin ve Google Play’in güncellendiğini doğruladı. Aslında, bunun gibi uygulama düzeyinde güvenlik hataları, "uygulamaları doğrula" özelliğinin başa çıkmak için tasarlandığı şeydir. Bu, Sahte Kimliğin, Google Play Hizmetlerinin güncel bir sürümünü çalıştıran herhangi bir cihaz üzerindeki etkisini önemli ölçüde sınırlandırmaktadır; Google, Google’ın Google Play’ler aracılığıyla Sahte Kimlik’i ele alması, bu sorun halka açık hale gelmeden önce etkin bir şekilde kısırlaştırmıştır. bilgi.

Böcekle ilgili bilgiler Black Hat'te mevcut olduğunda daha fazlasını öğreneceğiz. Ancak Google’ın uygulama doğrulayıcısı ve Play Store, Fake ID kullanarak uygulamaları yakalayabildiğinden, BlueBox’ın “Ocak 2010’dan beri tüm Android kullanıcılarının” risk altında olduğu iddiası abartılı görünüyor. (Her ne kadar kuşkusuz, Google’ın Android tarafından onaylanmayan bir sürümüne sahip bir cihaz kullanan kullanıcılar daha katı bir durumda kaldılar.)

Play Services'in kapı bekçisi olarak hareket etmesine izin vermek, geçici bir çözümdür, ancak oldukça etkilidir.

Ne olursa olsun, Google’ın Nisan ayından bu yana Fake ID’yi bilmesi, bu sömürüyü kullanan herhangi bir uygulamanın ileride Play Store’da yapması olasılığını ortaya koymaktadır. Çoğu Android güvenlik sorunu gibi, Fake ID ile başa çıkmanın en kolay ve en etkili yolu, uygulamalarınızı nereden edindiğiniz konusunda akıllı olmaktır.

Elbette, bir güvenlik açığının sömürülmesinin durdurulması, tamamen ortadan kaldırılmasıyla aynı değildir. İdeal bir dünyada Google, her Android cihazına kablosuz güncelleme yapabilir ve Apple'ın yaptığı gibi bu sorunu sonsuza dek ortadan kaldırabilirdi. Play Services ve Play Store'un kapı bekçileri olarak hareket etmesine izin vermek geçici bir çözümdür, ancak Android ekosisteminin büyüklüğü ve yayılım niteliği göz önüne alındığında, oldukça etkili bir çözümdür.

Pek çok üreticinin, özellikle de daha az bilinen olanlar gibi, önemli güvenlik güncellemelerini, bu gibi konuların öne çıkma eğiliminde olduğu cihazlara yönelik önemli güvenlik güncellemeleri yapmak için çok uzun sürdüğü doğrulamaz. Ama hiç yoktan çok daha iyi.

Özellikle teknoloji meraklısı bir Android kullanıcısıysanız, güvenlik sorunlarının farkında olmanız önemlidir - normal insanların telefonlarında bir şeyler ters gittiğinde yardım için başvurduğu türden bir kişi. Ancak işleri perspektifte tutmak da iyi bir fikir ve bunun sadece önemli güvenlik açığı değil, aynı zamanda olası saldırı vektörü olduğunu da unutmayın. Google tarafından kontrol edilen ekosistem söz konusu olduğunda, Play Store ve Play Services, Google’ın kötü amaçlı yazılımları ele alabileceği iki güçlü araçtır.

O yüzden güvende ol ve zeki kal. Başlıca Android OEM'lerinden Sahte Kimlik hakkında daha fazla bilgiyi size bildiririz.

Güncelleme: Bir Google sözcüsü, Android Central'a şu beyanı sağladı:

“Bluebox'un bu güvenlik açığını bize sorumlu bir şekilde bildirdiğini takdir ediyoruz; üçüncü taraf araştırması, Android'in kullanıcılar için daha güçlü hale getirilme yollarından biri. Bu güvenlik açığından haberdar olduktan sonra, hızlı bir şekilde Android ortaklarına ve AOSP'a dağıtılan bir düzeltme ekini yayınladık. Google Play ve Doğrulama Uygulamaları da kullanıcıları bu sorundan korumak için geliştirilmiştir.. Şu anda, Google Play’e gönderilen tüm uygulamaları ve Google’ın Google Play’in dışından incelediklerini taradık ve herhangi bir girişim kanıtlamadık. bu güvenlik açığından yararlanılması."

Sony ayrıca Fake ID düzeltmesini cihazlarına aktarmaya çalıştığını da söyledi.