"Identificador fals" i seguretat d'android [actualitzat]

Avui, la firma d’investigació en seguretat BlueBox, la mateixa empresa que va destapar l’anomenada vulnerabilitat d’Android “Key Key”, ha anunciat el descobriment d’un error en la manera en què Android gestiona els certificats d’identitat utilitzats per signar les aplicacions. La vulnerabilitat, que BlueBox ha batejat com a "Identificació falsa", permet que les aplicacions malintencionades s'associen amb certificats d'aplicacions legítimes, aconseguint així accés a coses a les quals no haurien de tenir accés.

Les vulnerabilitats de seguretat com aquest son fan por, i avui ja hem vist un o dos titulars hiperbòlics a mesura que aquesta història s'ha trencat. No obstant això, qualsevol error que permeti a les aplicacions fer coses que se suposa que no suposa un problema greu. A continuació, resumim què passa en poques paraules, què significa per a la seguretat d'Android i si val la pena preocupar-se …

Actualització: hem actualitzat aquest article per reflectir la confirmació de Google que tant la funció de Play Store com la de "verificar aplicacions" s'han realitzat actualment per solucionar l'error fals ID. Això significa que la gran majoria dels dispositius actius de Google Android ja tenen una protecció contra aquest problema, com es comentarà més endavant a l'article. La declaració de Google completa es pot trobar al final d'aquesta publicació.

El problema: certificats de Dodgy

L'identificació falsa prové d'un error al instal·lador de paquets d'Android.

Segons BlueBox, la vulnerabilitat prové d’un problema en l’instal·lador de paquets Android, la part del sistema operatiu que gestiona la instal·lació d’aplicacions. Aparentment, l’instal·lador de paquets no verifica correctament l’autenticitat de les cadenes de certificats digitals, permetent que un certificat maliciós afirmi que ha estat emès per una part de confiança. Això és un problema perquè certes signatures digitals proporcionen a les aplicacions accés privilegiat a algunes funcions del dispositiu. Amb Android 2.2-4.3, per exemple, a les aplicacions que porten la signatura d'Adobe se li dóna accés especial al contingut de la visualització web. De la mateixa manera, fer malbé la signatura d’una aplicació que tingués accés privilegiat al maquinari utilitzat per a pagaments segurs mitjançant NFC pot permetre que una aplicació maliciosa interceptés informació financera sensible.

Més preocupant, un certificat maliciós també es podria utilitzar per suplantar determinats programes de gestió de dispositius remots, com ara 3LM, que fan servir alguns fabricants i atorguen un control extensiu sobre un dispositiu.

Com escriu l'investigador de BlueBox Jeff Foristall:

"Les signatures de l'aplicació tenen un paper important en el model de seguretat d'Android. La signatura d'una aplicació estableix qui pot actualitzar l'aplicació, quines aplicacions poden compartir les seves dades, etc. Alguns permisos, utilitzats per accedir a la funcionalitat, només es poden utilitzar per aplicacions que tinguin la mateixa signatura que el creador de permisos. Més interessant, en determinats casos, es donen privilegis especials a signatures molt específiques."

Si bé el problema d'Adobe / Webview no afecta Android 4.4 (perquè la vista web ara es basa en Chromium, que no té els mateixos ganxos d'Adobe), sembla que l'error subjacent a l'instal·lador de paquets continua afectant algunes versions de KitKat. En un comunicat donat a Android Central, Google va dir: "Després de rebre la paraula d'aquesta vulnerabilitat, vam emetre ràpidament un pegat que es va distribuir als socis d'Android, així com al projecte Open Source d'Android".

Google diu que no hi ha cap prova que es faci un "identificador fals" en estat salvatge.

Atès que BlueBox diu que va informar a Google l'abril, és probable que s'hagi inclòs qualsevol solució a Android 4.4.3 i, possiblement, alguns pedaços de seguretat basats en 4.4.2. (Consulteu aquest compromís de codi, gràcies a Anant Shrivastava.) Les proves inicials amb l'aplicació pròpia de BlueBox demostren que el Fake ID no es veu afectat pel LG G3 europeu, el Samsung Galaxy S5 i el HTC One M8. Hem contactat amb els principals fabricants OEM d'Android per saber quins altres dispositius s'han actualitzat.

Pel que fa a les particularitats de la versió falsa de la identificació falsa, Forristal diu que revelarà més informació a la Black Hat Conference de Las Vegas el 2 d'agost. En la seva declaració, Google va dir que havia escanejat totes les aplicacions de la seva Play Store i que algunes es van allotjar. en altres botigues d'aplicacions i no va trobar cap prova que l'explotació s'estava utilitzant al món real.

La solució: solució d'errors d'Android amb Google Play

Mitjançant Play Services, Google pot implementar efectivament aquest error a la majoria de l'ecosistema actiu d'Android.

La falsa identificació és una greu vulnerabilitat de seguretat que, si s'adreça correctament, podria permetre a un atacant fer danys greus. I atès que recentment s'ha tractat l'error subjacent a AOSP, podria semblar que la gran majoria dels telèfons Android estan oberts a atacar, i quedaran així per al futur previsible. Com hem comentat abans, la tasca d’actualitzar els milers de milions de telèfons Android actius és un enorme desafiament i la “fragmentació” és un problema que s’incorpora a l’ADN d’Android. Però Google té una trompa per jugar quan es tracten problemes de seguretat com aquest: Google Play Services.

De la mateixa manera que Play Services afegeix noves funcions i API sense requerir una actualització de firmware, també es pot utilitzar per taponar forats de seguretat. Fa un temps, Google va afegir una funció de "verificar aplicacions" als serveis de Google Play com a manera d'escanejar qualsevol aplicació per a contingut maliciós abans de la seva instal·lació. A més, està activat de manera predeterminada. A Android 4.2 i versions posteriors, es troba en Configuració> Seguretat; en versions anteriors, ho trobaràs a Configuració de Google> Verifica aplicacions. Com va dir Sundar Pichai a Google I / O 2014, el 93 per cent dels usuaris actius es troben a la versió més recent dels serveis de Google Play. Fins i tot el nostre antic LG Optimus Vu, que utilitza Android 4.0.4 Ice Cream Sandwich, té l’opció de “verificar aplicacions” de Play Services per protegir-se del programari maliciós.

Google ha confirmat a Android Central que la funció "verificar aplicacions" i Google Play s'han actualitzat per protegir els usuaris d'aquest problema. De fet, els errors de seguretat del nivell d'aplicacions són exactament els que s'ha dissenyat la funció "verificar aplicacions" per fer-ho. Això limita significativament l’impacte de l’identificació falsa en qualsevol dispositiu que utilitzi una versió actualitzada de Google Play Services, lluny de que tots els dispositius Android siguin vulnerables, l’acció de Google d’adreçar Fake ID mitjançant Play Services els va neutralitzar de manera efectiva abans que l’emissió fins i tot es fes pública. coneixement.

Esbrinarem més quan la informació sobre l’error estigui disponible a Black Hat. Però, com que el verificador d’aplicacions de Google i Play Store poden capturar aplicacions amb Fake ID, la afirmació de BlueBox segons la qual “tots els usuaris d’Android des de gener del 2010” estan en risc sembla ser exagerada. (Tot i que certament, els usuaris que utilitzin un dispositiu amb Android que no sigui aprovat per Google, es deixen en una situació més adherida.)

Deixar que Play Services actuï com a gatekeeper és una solució de parada, però és bastant eficaç.

Independentment, el fet que Google tingui coneixement de la falsificació de la identificació des del mes d’abril fa que sigui molt poc probable que cap aplicació que utilitzi la explotació arribi a la Play Store en el futur. Com la majoria dels problemes de seguretat d’Android, la manera més senzilla i efectiva de tractar Fake ID és ser intel·ligent d’on proveniu les aplicacions.

Segurament, aturar una vulnerabilitat a l'explotació no és el mateix que eliminar-la del tot. En un món ideal, Google seria capaç de transmetre una actualització a l’aire a qualsevol dispositiu Android i eliminar el problema per sempre, tal com ho fa Apple. Deixar que els serveis de Play i Play Store funcionin com a porters és una solució de tap, però, donada la grandària i la naturalesa de l'ecosistema Android, és força efectiu.

No resulta correcte que molts fabricants encara tinguin un temps massa llarg per publicar importants actualitzacions de seguretat als dispositius, particularment menys coneguts, ja que problemes com aquest destaquen. Però és molt millor que res.

És important tenir consciència dels problemes de seguretat, sobretot si sou un usuari Android experimentat en la tecnologia: el tipus de persona que recorre la gent habitual per obtenir ajuda quan alguna cosa va malament amb el telèfon. Però també és una bona idea mantenir les coses en perspectiva i recordeu que no és només la vulnerabilitat important, sinó també el possible vector d’atac. En el cas de l’ecosistema controlat per Google, Play Store i Play Services són dues potents eines amb les quals Google pot gestionar programari maliciós.

Per tant, mantingueu-vos segur i seguiu intel·ligent. Us mantindrem informats amb qualsevol informació addicional sobre la identificació falsa dels principals fabricants OEM d'Android.

Actualització: un portaveu de Google ha proporcionat a Android Central la següent declaració:

"Agraïm que Bluebox ens informi de forma responsable d'aquesta vulnerabilitat; la investigació de tercers és una de les maneres que Android es fa més fort per als usuaris. Després de rebre la paraula d'aquesta vulnerabilitat, vam emetre ràpidament un pegat que es va distribuir als socis d'Android, així com a AOSP.. Les aplicacions de Google Play i Verify també s’han millorat per protegir els usuaris d’aquest problema. En aquest moment, hem analitzat totes les aplicacions enviades a Google Play, així com les que Google ha revisat des de fora de Google Play i no hem vist cap prova d’intent. explotació d'aquesta vulnerabilitat."

Sony també ens ha explicat que està treballant per impulsar la correcció falsa als seus dispositius.