Osnovna napaka "ponarejenega id-ja" omogoča zlonamerno programsko opremo, da divja

Ena najboljših stvari o mobilnih operacijskih sistemih je peskovnik. Ta tehnika deli aplikacije, s čimer preprečuje tveganim aplikacijam (ali kateri koli aplikaciji), da nimajo brezplačnega vžiga v Android. Toda nova ranljivost lahko pomeni, da Androidov peskovnik ni tako močan, kot smo si mislili.

Kaj je to?

Jeff Forristal je v podjetju Black Hat pokazal, kako je napaka pri upravljanju certifikatov Android uporabljena za izhod iz peskovnika. Lahko bi ga celo uporabili, če želite zlonamernim aplikacijam zagotoviti višjo raven privilegijev, vse to pa ne daje žrtvam pojma, kaj se dogaja z njihovim telefonom. Forristal je dejal, da bi to ranljivost lahko uporabili za krajo podatkov, gesel in celo popoln nadzor nad več aplikacijami.

V središču izdaje so potrdila, ki so v osnovi malo kriptografskih dokumentov, ki naj bi zagotovili, da je aplikacija tisto, za kar trdi, da je. Forristal je pojasnil, da gre za popolnoma isto tehnologijo, ki jo spletne strani uporabljajo za zagotovitev pristnosti. Toda Android, kaže, ne preverja kriptografskih razmerij med certifikati. Ta napaka je, je dejal Forristal, "precej temeljna za varnostni sistem Android."

Praktični rezultat je, da lahko ustvarite zlonamerno aplikacijo, uporabite lažno potrdilo, in kar zadeva Android, je aplikacija zakonita. Ta osnovna težava, ki jo Forristal imenuje ponarejeni ID, v Android uvaja številne ranljivosti in izkoriščanja. Med demonstracijami je Forristal šest dni pred tem uporabil povsem nov telefon.

Kaj počne

V demonstraciji je Forristal uporabil ponarejeno posodobitev storitev Google, ki je vsebovala zlonamerno kodo z uporabo ene od ranljivosti ponarejenega ID-ja. Aplikacija je bila dobavljena skupaj z e-poštnim sporočilom za socialni inženiring, kjer napadalec predstavlja del IT-jevega oddelka žrtve. Ko žrtev namešča aplikacijo, ugotovi, da aplikacija ne potrebuje nobenih dovoljenj in se zdi zakonita. Android izvede namestitev in vse se zdi v redu.

V ozadju pa je aplikacija Forristal uporabila ranljivost ponarejenega ID-ja za samodejno in takoj vnašanje zlonamerne kode v druge aplikacije v napravi. Natančneje, certifikat Adobe za posodabljanje Flasha, katerega podatki so bili trdo kodirani v Android. V nekaj sekundah je imel na napravi nadzor nad petimi aplikacijami - nekatere so imele globok dostop do žrtve žrtve.

To ni prvič, da se je Forristal zmešal z Androidom. Leta 2013 je Forristal prestrašil skupnost Android, ko je razkril tako imenovano izkoriščanje Master Key. Ta široko razširjena ranljivost je pomenila, da se ponarejene aplikacije lahko prikrijejo kot zakonite, kar lahko zlonamernim aplikacijam omogoči brezplačen prehod.

Preveri ID

Predstavitev podjetja Forristal nam ni ponudila le odmevnih novic o Androidu, ampak nam je ponudila tudi orodje za zaščito naših vozil. Forristal je izdal brezplačno orodje za skeniranje, da bi odkril to ranljivost. Seveda to še vedno pomeni, da bodo morali ljudje preprečiti, da bi zlonamerna programska oprema prišla na njihove telefone.

O hrošču so poročali tudi Googlu, očitno pa se obliži pojavljajo na različnih ravneh.

Še pomembneje je, da celoten napad temelji na žrtvi, ki namešča aplikacijo. Res je, da rdeča zastava ne zahteva veliko dovoljenj, toda Forristal je dejal, da če se uporabniki izognejo aplikacijam iz "senčnih krajev" (beri: zunaj Google Play), bodo varni. Vsaj za zdaj.