![אבטחת 'זיהוי מזויף' ואנדרואיד [מעודכן]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "אבטחת 'זיהוי מזויף' ואנדרואיד [מעודכן]")
תוכן עניינים:
חברת מחקר האבטחה BlueBox - אותה חברה שחשפה את הפגיעות כביכול אנדרואיד "Master Key" - הודיעה על גילוי באג באופן בו אנדרואיד מטפלת בתעודות הזהות המשמשות לחתימה על יישומים. הפגיעות, ש- BlueBox כינתה אותה "מזויף מזויף", מאפשרת לאפליקציות זדוניות לשייך את עצמן לתעודות מאפליקציות לגיטימיות, וכך לקבל גישה לדברים שלא היו צריכים לגשת אליהם.
פגיעויות אבטחה כמו זה נשמעו מפחידות, וכבר ראינו כותרות היפרבוליות אחת או שתיים היום שכן הסיפור הזה נשבר. עם זאת, כל באג שמאפשר לאפליקציות לעשות דברים שהם לא אמורים להוות בעיה רצינית. אז נסכם מה קורה על קצה המזלג, מה המשמעות של אבטחת אנדרואיד והאם כדאי לדאוג …
עדכון: עדכנו מאמר זה כדי לשקף אישור מגוגל כי גם חנות Play וגם תכונת האימות של אפליקציות אכן עודכנו כדי לטפל בבאג מזהה מזויף. המשמעות היא שלרוב המכריע של מכשירי אנדרואיד אנדרואיד של גוגל יש כבר הגנה מסוימת מנושא זה, כפי שנדון בהמשך המאמר. ניתן למצוא את ההצהרה של גוגל במלואה בסוף פוסט זה.
הבעיה - תעודות מטורפות
'מזויף מזויף' נובע באג במתקין חבילת אנדרואיד.
לפי BlueBox, הפגיעות נובעת מבעיה במתקין חבילת אנדרואיד, החלק של מערכת ההפעלה המטפל בהתקנת אפליקציות. מתקין החבילות כנראה לא מאמת כראוי את האותנטיות של "שרשראות תעודה דיגיטליות", ומאפשר לתעודה זדונית לטעון שהונפק על ידי גורם מהימן. זו בעיה מכיוון שחתימות דיגיטליות מסוימות מספקות אפליקציות גישה מיוחסת לפונקציות מסוימות של מכשירים. עם אנדרואיד 2.2-4.3, למשל, לאפליקציות הנושאות את חתימתה של אדובי ניתנת גישה מיוחדת לתכני תצוגה מקוונת - דרישה לתמיכה של Adobe Flash שאם שימוש לרעה עלול לגרום לבעיות. באופן דומה, זיוף החתימה של יישום שזכה בגישה לחומרה המשמשת לתשלומים מאובטחים באמצעות NFC עשוי לאפשר לאפליקציה זדונית ליירט מידע פיננסי רגיש.
באופן מדאיג יותר, ניתן להשתמש בתעודה זדונית גם כדי להתחזות לתוכנה מסוימת לניהול מכשירים מרוחקים, כגון 3LM, המשמשת כמה יצרנים ומקנה שליטה נרחבת במכשיר.
כפי שכותב חוקר BlueBox ג'ף פוריסטל:
"חתימות יישומים ממלאות תפקיד חשוב במודל האבטחה של אנדרואיד. חתימת אפליקציה קובעת מי יכול לעדכן את האפליקציה, אילו יישומים יכולים לשתף את הנתונים שלה וכו '. הרשאות מסוימות, המשמשות לשער גישה לפונקציונליות, ניתנות לשימוש רק ביישומים שיש להם את באותה חתימה של יוצר ההרשאות. מעניין יותר, חתימות ספציפיות מאוד מקבלות הרשאות מיוחדות במקרים מסוימים."
אמנם הבעיה של Adobe / webview אינה משפיעה על אנדרואיד 4.4 (מכיוון שתצוגת הרשת מבוססת כעת על Chromium, שאין בה אותם ווים של Adobe), אך ככל הנראה באג מתקין החבילות הבסיסי ממשיך להשפיע על גרסאות מסוימות של KitKat. בהצהרה שנמסרה לאנדרואיד סנטר גוגל אמרה כי "לאחר שקיבלנו הודעה על פגיעות זו, הוצאנו במהירות תיקון שהופץ לשותפי אנדרואיד, כמו גם לפרויקט קוד הפיתוח של אנדרואיד."
גוגל טוענת כי אין שום הוכחה לכך ש'זיהוי מזויף 'מנוצל בטבע.
בהתחשב בכך ש- BlueBox טוענת כי הודיעה ל- Google באפריל, סביר להניח שכל תיקון ייכלל באנדרואיד 4.4.3, ואולי בכמה תיקוני אבטחה מבוססי 4.4.2 של יצרני ציוד מקורי. (ראה התחייבות קוד זו - תודה אננט שריווסטאבה.) בדיקות ראשוניות עם האפליקציה של BlueBox עצמה מראות כי ה- LG G3 האירופי, סמסונג גלקסי S5 ו- HTC One M8 אינם מושפעים מזיהוי מזויף. פנינו אל יצרני היצרן המקומי של אנדרואיד לברר אילו מכשירים אחרים עודכנו.
באשר לפרטים הקטנים של ה- Fake ID-וולן, פורריאל אומר שהוא יחשוף עוד בכנס Black Hat בלאס וגאס ב -2 באוגוסט. בהצהרתה, גוגל אמרה כי היא סרקה את כל האפליקציות בחנות Play שלה, וחלקם אירחו בחנויות אפליקציות אחרות ולא מצאו שום עדות לכך שהניצול נמצא בשימוש בעולם האמיתי.
הפיתרון - תיקון באגים אנדרואיד באמצעות Google Play
באמצעות שירותי Play, גוגל יכולה לאחות בצורה יעילה את הבאג הזה ברוב המערכת האקולוגית הפעילה של אנדרואיד.
זיהוי מזויף הוא פגיעות אבטחה חמורה שאם ממוקדים כראוי עלולים לאפשר לתוקף לגרום נזק קשה. וכיוון שה באג הבסיסי טופל רק לאחרונה ב- AOSP, נראה כי הרוב הגדול של טלפוני אנדרואיד פתוחים לתקיפה, ויישאר כך גם בעתיד הנראה לעין. כפי שדיברנו בעבר, המשימה לעדכן את מיליארדי הטלפונים האנדרואיד של אנדרואיד בערך היא אתגר עצום, ו"פיצול "הוא בעיה המובנית בתוך ה- DNA של אנדרואיד. אבל לגוגל יש כרטיס טראמפ לשחק בעת התמודדות עם סוגיות אבטחה כמו אלה - שירותי Google Play.
כשם ששירותי Play מוסיפים תכונות וממשקי API חדשים מבלי לדרוש עדכון קושחה, כך ניתן להשתמש בהם גם לחיבור חורי אבטחה. לפני זמן מה גוגל הוסיפה לשירותי Google Play תכונה "אמת אפליקציות" כדרך לסרוק אפליקציות אחר תוכן זדוני לפני שהן מותקנות. מה שכן, הוא מופעל כברירת מחדל. באנדרואיד 4.2 ומעלה הוא חי תחת הגדרות> אבטחה; בגירסאות ישנות תמצא אותו תחת הגדרות Google> אמת אפליקציות. כפי שאמר Sundar Pichai ב- Google I / O 2014, 93 אחוז מהמשתמשים הפעילים נמצאים בגירסה האחרונה של שירותי Google Play. אפילו LG Optimus Vu העתיק שלנו, המריץ כריך גלידה עם אנדרואיד 4.0.4, מציע את האפשרות "לאמת אפליקציות" משירותי Play כדי לשמור על תוכנות זדוניות.
גוגל אישרה ל- Android Central כי תכונת "האמת אפליקציות" ו- Google Play עודכנו כדי להגן על משתמשים מפני בעיה זו. אכן, באגי אבטחה ברמת האפליקציה כמו זה הם בדיוק מה שהתכונה 'לאמת אפליקציות' נועדה להתמודד איתה. זה מגביל באופן משמעותי את ההשפעה של זיהוי מזויף על כל מכשיר שמריץ גרסה מעודכנת של שירותי Google Play - הרחק מכל מכשירי אנדרואיד להיות פגיעים, הפעולה של גוגל לפנות לזיהוי מזויף באמצעות שירותי Play, למעשה, סירסה אותו עוד לפני שהנושא הפך להיות ציבורי ידע.
אנו נברר מידע נוסף כאשר מידע על הבאג יהפוך לזמין ב- Black Hat. אולם מכיוון שמאמת האפליקציות של גוגל וחנות Play יכול לתפוס אפליקציות באמצעות Fake ID, טענת BlueBox כי "כל משתמשי אנדרואיד מאז ינואר 2010" נמצאים בסיכון נראה מוגזם. (אם כי יש להודות, משתמשים שמריצים מכשיר עם גרסת אנדרואיד שאינה מאושרת על ידי Google נותרים במצב דביק יותר.)
לאפשר לשירותי Play לפעול כשומר סף זה פיתרון של עצירה, אבל זה די יעיל.
בלי קשר, העובדה שגוגל מודעת לזיהוי מזויף מאז אפריל גורמת לכך שלא סביר מאוד שאפליקציות המשתמשות במנצל יעלו אותה לחנות Play בעתיד. כמו רוב בעיות האבטחה באנדרואיד, הדרך הקלה והיעילה ביותר להתמודד עם Fake ID היא להיות חכמה לגבי המקום שממנו אתה מקבל את האפליקציות שלך.
מה שבטוח, עצירת ניצול של פגיעות אינה זהה לחיסולה לחלוטין. בעולם אידיאלי גוגל תוכל לדחוף עדכון שובר האוויר לכל מכשיר אנדרואיד ולבטל את הנושא לנצח, ממש כמו שאפל עושה. מתן אפשרות לשירותי פליי וחנות Play לפעול כשומרי סף היא פיתרון של עצירה, אך בהתחשב בגודל ובאופי המשתרע של מערכת האקולוגיה של אנדרואיד, מדובר בפיתרון די יעיל.
זה לא עושה זאת בסדר שיצרנים רבים עדיין עושים זמן רב מדי כדי לדחוף עדכוני אבטחה חשובים למכשירים, במיוחד אלה הידועים פחות, מכיוון שנושאים כמו זה נוטים להדגיש. אבל זה הרבה יותר טוב מכלום.
חשוב להיות מודעים לבעיות אבטחה, במיוחד אם אתה משתמש אנדרואיד בעל ידע טכני - סוג האנשים שאנשים רגילים פונים לעזרה כשמשהו משתבש בטלפון שלהם. אבל זה גם רעיון טוב לשמור על דברים בפרספקטיבה, ולזכור שלא רק הפגיעות חשובה, אלא גם וקטור ההתקפה האפשרי. במקרה של המערכת האקולוגית הנשלטת על ידי גוגל, חנות Play ושירותי Play הם שני כלים חזקים איתם גוגל יכולה להתמודד עם תוכנות זדוניות.
אז הישארו בטוחים והישארו חכמים. אנו נעדכן אותך עם כל מידע נוסף על מזהה מזויף של יצרני היצרן המקומי של אנדרואיד.
עדכון: דובר גוגל סיפק ל- Android Central את ההצהרה הבאה:
"אנו מעריכים ש- Bluebox מדווח עלינו באחריות על פגיעות זו; מחקר של צד שלישי הוא אחת הדרכים בהן אנדרואיד מתחזק למשתמשים. לאחר קבלת הידיעה על פגיעות זו, הוצאנו במהירות תיקון שהופץ לשותפי אנדרואיד, כמו גם ל- AOSP..גוגל פליי ואימות אפליקציות שופרו גם כדי להגן על משתמשים מפני סוגיה זו. בשלב זה סרקנו את כל היישומים שהוגשו ל- Google Play כמו גם אלה שגוגל בדקה מחוץ לגוגל פליי ולא ראינו שום הוכחות לניסיון ניצול של פגיעות זו."
סוני גם אמרה לנו שהיא עובדת על דחיקת התקן של ה- Fake ID למכשירים שלה.
