'Fake id' och android säkerhet [uppdaterad]

Idag har säkerhetsforskningsföretaget BlueBox - samma företag som upptäckte den så kallade Android "Master Key" sårbarheten - meddelat upptäckten av ett fel på det sätt som Android hanterar identitetscertifikaten som används för att signera applikationer. Sårbarheten, som BlueBox har kallat "Fake ID", tillåter skadliga appar att associera sig med certifikat från legitima appar, och därmed få tillgång till saker de inte borde ha tillgång till.

Säkerhetsproblem som det här låter skrämmande, och vi har redan sett en eller två hyperboliska rubriker idag eftersom den här historien har brutit. Ändå är något fel som låter appar göra saker de inte ska vara ett allvarligt problem. Så låt oss sammanfatta vad som händer i ett nötskal, vad det betyder för Android-säkerhet och om det är värt att oroa dig för …

Uppdatering: Vi har uppdaterat den här artikeln för att återspegla bekräftelse från Google om att både Play Store och "verifiera appar" -funktionen verkligen har uppdaterats för att hantera Fake ID-felet. Detta betyder att de allra flesta aktiva Google Android-enheter redan har ett visst skydd mot denna fråga, som diskuteras senare i artikeln. Googles uttalande i sin helhet kan hittas i slutet av detta inlägg.

Problemet - Dodgy certifikat

'Fake ID' härrör från ett fel i installationsprogrammet för Android-paketet.

Enligt BlueBox kommer sårbarheten från ett problem i installationsprogrammet för Android-paketet, den del av OS som hanterar installationen av appar. Paketinstallatören verifierar tydligen inte korrekt äktheten för digitala certifikat "kedjor", vilket tillåter ett skadligt certifikat att hävda att det har utfärdats av en betrodd part. Det är ett problem eftersom vissa digitala signaturer ger appar privilegierad åtkomst till vissa enhetsfunktioner. Med Android 2.2-4.3 ges till exempel appar som har Adobes signatur speciell tillgång till innehåll i webbvisning - ett krav för Adobe Flash-stöd som om missbruk kan orsaka problem. På liknande sätt kan förfalskning av signaturen på en app som har privilegierad åtkomst till hårdvaran som används för säkra betalningar via NFC möjliggöra för en skadlig app att fånga känslig ekonomisk information.

Mer oroande kan ett skadligt certifikat också användas för att efterge sig viss mjukvara för fjärrstyrning, t.ex. 3LM, som används av vissa tillverkare och ger omfattande kontroll över en enhet.

Som BlueBox-forskaren Jeff Foristall skriver:

"Applikationssignaturer spelar en viktig roll i Android-säkerhetsmodellen. En applikations signatur fastställer vem som kan uppdatera applikationen, vilka applikationer som kan dela dess data, etc. Vissa behörigheter, som används för att styra åtkomst till funktionalitet, kan bara användas av applikationer som har samma signatur som tillståndskaparen. Mer intressant är att mycket specifika signaturer ges speciella privilegier i vissa fall."

Även om Adobe / webview-problemet inte påverkar Android 4.4 (eftersom webbvisningen nu är baserad på Chromium, som inte har samma Adobe-krokar), fortsätter det underliggande paketinstallationsfelet uppenbarligen att påverka vissa versioner av KitKat. I ett uttalande till Android Central sade Google: "Efter att ha fått ordet om denna sårbarhet utfärdade vi snabbt en korrigeringsfil som distribuerades till Android-partners, liksom till Android Open Source Project."

Google säger att det inte finns några bevis för att "falskt ID" utnyttjas i naturen.

Med tanke på att BlueBox säger att det informerade Google i april är det troligt att någon fix har inkluderats i Android 4.4.3 och eventuellt några 4.4.2-baserade säkerhetsfixar från OEM: er. (Se åtagandet om denna kod - tack Anant Shrivastava.) Inledande tester med BlueBox egen app visar att europeiska LG G3, Samsung Galaxy S5 och HTC One M8 inte påverkas av Fake ID. Vi har kontaktat de stora Android-OEM: erna för att ta reda på vilka andra enheter som har uppdaterats.

När det gäller detaljerna i Fake ID vuln, säger Forristal att han kommer att avslöja mer om vid Black Hat-konferensen i Las Vegas den 2 augusti. I sitt uttalande sade Google att det hade skannat alla appar i sin Play Store, och några var värda i andra appbutiker och hittade inga bevis för att utnyttjandet användes i den verkliga världen.

Lösningen - Fixa Android-buggar med Google Play

Genom Play Services kan Google effektivt kastrera detta fel över de flesta av det aktiva Android-ekosystemet.

Fake ID är en allvarlig säkerhetssårbarhet som, om den riktigt riktad kan göra det möjligt för en angripare att göra allvarliga skador. Och eftersom det underliggande felet nyligen har behandlats i AOSP, kan det se ut som att en stor majoritet av Android-telefoner är öppna för attacker och kommer att förbli så under överskådlig framtid. Som vi har diskuterat tidigare är uppgiften att uppdatera miljarder eller så aktiva Android-telefoner en enorm utmaning, och "fragmentering" är ett problem som är inbyggt i Android: s DNA. Men Google har ett trumfkort att spela när hanterar säkerhetsproblem som detta - Google Play Services.

Precis som Play Services lägger till nya funktioner och API: er utan att kräva en firmware-uppdatering, kan de också användas för att ansluta säkerhetshål. För en tid sedan lägger Google till en "verifiera appar" -funktion i Google Play Services som ett sätt att skanna alla appar för skadligt innehåll innan de installeras. Dessutom är den aktiverad som standard. I Android 4.2 och senare lever den under Inställningar> Säkerhet; på äldre versioner hittar du det under Google-inställningar> Verifiera appar. Som Sundar Pichai sa vid Google I / O 2014 är 93 procent av de aktiva användarna på den senaste versionen av Google Play-tjänster. Till och med vår gamla LG Optimus Vu, som kör Android 4.0.4 Ice Cream Sandwich, har alternativet "verifiera appar" från Play Services för att skydda sig mot skadlig programvara.

Google har bekräftat till Android Central att funktionen "verifiera appar" och Google Play har uppdaterats för att skydda användare från detta problem. Faktum är att säkerhetsbuggar på app-nivå som detta är exakt vad funktionen "verifiera appar" är utformad för att hantera. Detta begränsar betydligt inverkan av Fake ID på alla enheter som kör en aktuell version av Google Play Services - långt ifrån att alla Android-enheter är sårbara, Googles åtgärd för att adressera Fake ID via Play Services kastrerade det effektivt innan problemet till och med blev offentlig kunskap.

Vi får veta mer när information om felet blir tillgänglig på Black Hat. Men eftersom Googles appverifierare och Play Store kan fånga appar med Fake ID, verkar BlueBox påstående att "alla Android-användare sedan januari 2010" är utsatta för överdrivna. (Även om användarna som kör en enhet med en icke-Google-godkänd version av Android är riktigt kvar i en klibbigare situation.)

Att låta Play Services fungera som gatekeeper är en stopgap-lösning, men det är en ganska effektiv lösning.

Oavsett, det faktum att Google har varit medveten om falska ID sedan april gör det mycket osannolikt att några appar som använder exploit kommer att komma till Play Store i framtiden. Liksom de flesta Android-säkerhetsproblem är det enklaste och mest effektiva sättet att hantera Fake ID att vara smart om var du får dina appar från.

För att säkert stoppa en sårbarhet från att utnyttjas är inte detsamma som att eliminera den helt. I en idealvärld skulle Google kunna driva en uppdatering till alla Android-enheter och eliminera problemet för alltid, precis som Apple gör. Att låta Play Services och Play Store fungera som gatekeepers är en stopgap-lösning, men med tanke på Android-ekosystemets storlek och spridning är det ganska effektivt.

Det gör det inte okej att många tillverkare fortfarande tar för lång tid för att driva ut viktiga säkerhetsuppdateringar för enheter, särskilt mindre kända, eftersom problem som detta tenderar att lyfta fram. Men det är mycket bättre än ingenting.

Det är viktigt att vara medveten om säkerhetsproblem, särskilt om du är en teknisk smart Android-användare - den typ av person som vanliga människor vänder sig till för att få hjälp när något går fel med deras telefon. Men det är också en bra idé att hålla saker i perspektiv, och kom ihåg att det inte bara är sårbarheten som är viktig, utan också den möjliga attackvektorn. För det Google-kontrollerade ekosystemet är Play Store och Play Services två kraftfulla verktyg med vilka Google kan hantera skadlig programvara.

Så håll dig säker och håll dig smart. Vi håller dig uppdaterad med ytterligare information om falskt ID från de stora Android-OEM: erna.

Uppdatering: En Google-talesman har försett Android Central med följande uttalande:

"Vi uppskattar att Bluebox på ett ansvarsfullt sätt rapporterar denna sårbarhet till oss. Forskning från tredje part är ett av de sätt som Android görs starkare för användare. Efter att ha fått ord om denna sårbarhet utfärdade vi snabbt en patch som distribuerades till Android-partners samt till AOSP Google Play och Verify Apps har också förbättrats för att skydda användare från detta problem. För närvarande har vi skannat alla ansökningar som skickats till Google Play såväl som de som Google har granskat från utanför Google Play och vi har inte sett några bevis för försök utnyttjande av denna sårbarhet."

Sony har också berättat att det jobbar med att skjuta ut Fake ID-fixen på sina enheter.