'Fake id' en Android-beveiliging [bijgewerkt]

Vandaag heeft beveiligingsonderzoeksbureau BlueBox - hetzelfde bedrijf dat de zogenaamde 'Master Key'-kwetsbaarheid heeft ontdekt - de ontdekking van een fout in de manier waarop Android omgaat met de identiteitscertificaten die worden gebruikt om applicaties te ondertekenen. Door het beveiligingslek, dat BlueBox "Fake ID" heeft genoemd, kunnen kwaadwillende apps zichzelf koppelen aan certificaten van legitieme apps, waardoor ze toegang krijgen tot dingen waartoe ze geen toegang zouden moeten hebben.

Beveiligingskwetsbaarheden zoals dit klinken eng, en we hebben vandaag al een of twee hyperbolische koppen gezien omdat dit verhaal is gebroken. Desalniettemin is elke bug waarmee apps dingen kunnen doen die ze niet mogen doen, een serieus probleem. Dus laten we kort samenvatten wat er aan de hand is, wat het betekent voor Android-beveiliging en of het de moeite waard is om je zorgen te maken over …

Update: we hebben dit artikel bijgewerkt om de bevestiging van Google weer te geven dat zowel de Play Store als de functie "Apps verifiëren" inderdaad zijn bijgewerkt om de Fake ID-bug aan te pakken. Dit betekent dat de overgrote meerderheid van actieve Google Android-apparaten al enige bescherming tegen dit probleem hebben, zoals later in het artikel wordt besproken. De volledige verklaring van Google is te vinden aan het einde van dit bericht.

Het probleem - Dodgy-certificaten

'Fake ID' komt voort uit een fout in het installatiepakket van het Android-pakket.

Volgens BlueBox komt het beveiligingslek voort uit een probleem in het installatiepakket van het Android-pakket, het deel van het besturingssysteem dat de installatie van apps afhandelt. Het installatieprogramma van het pakket blijkt de authenticiteit van "certificaatketens" van het digitale certificaat blijkbaar niet goed te hebben toegestaan, waardoor een schadelijk certificaat kan beweren dat het door een vertrouwde partij is uitgegeven. Dat is een probleem omdat bepaalde digitale handtekeningen apps bevoorrechte toegang bieden tot sommige apparaatfuncties. Met Android 2.2-4.3 krijgen apps met de handtekening van Adobe bijvoorbeeld speciale toegang tot webview-inhoud - een vereiste voor ondersteuning door Adobe Flash die bij misbruik problemen kan veroorzaken. Op dezelfde manier kan het vervalsen van de handtekening van een app die bevoorrechte toegang heeft tot de hardware die wordt gebruikt voor veilige betalingen via NFC, een kwaadwillende app gevoelige financiële informatie laten onderscheppen.

Nog zorgwekkender is dat een kwaadaardig certificaat ook kan worden gebruikt om zich voor te doen als bepaalde software voor apparaatbeheer op afstand, zoals 3LM, die door sommige fabrikanten wordt gebruikt en uitgebreide controle over een apparaat verleent.

Zoals BlueBox-onderzoeker Jeff Foristall schrijft:

"Toepassingshandtekeningen spelen een belangrijke rol in het Android-beveiligingsmodel. De handtekening van een toepassing bepaalt wie de toepassing kan bijwerken, welke toepassingen de gegevens kunnen delen, enz. Bepaalde machtigingen, die worden gebruikt om toegang tot functionaliteit te blokkeren, zijn alleen bruikbaar door toepassingen die de dezelfde handtekening als de maker van de machtiging. Interessanter is dat zeer specifieke handtekeningen in bepaalde gevallen speciale rechten krijgen."

Hoewel het probleem met Adobe / webview geen invloed heeft op Android 4.4 (omdat de webview nu is gebaseerd op Chromium, die niet dezelfde Adobe-hooks heeft), blijft de onderliggende installer-bug van het pakket kennelijk van invloed op sommige versies van KitKat. In een verklaring aan Android Central zei Google: "Nadat we dit beveiligingslek hadden gehoord, hebben we snel een patch uitgegeven die aan Android-partners en aan het Android Open Source Project is gedistribueerd."

Google zegt dat er geen bewijs is dat 'Fake ID' in het wild wordt uitgebuit.

Aangezien BlueBox zegt dat het Google in april op de hoogte heeft gebracht, is het waarschijnlijk dat elke oplossing is opgenomen in Android 4.4.3 en mogelijk enkele op 4.4.2 gebaseerde beveiligingspatches van OEM's. (Zie deze code commit - bedankt Anant Shrivastava.) Eerste tests met BlueBox's eigen app tonen aan dat de Europese LG G3, Samsung Galaxy S5 en HTC One M8 niet worden beïnvloed door Fake ID. We hebben contact opgenomen met de belangrijkste Android-OEM's om erachter te komen welke andere apparaten zijn bijgewerkt.

Wat betreft de bijzonderheden van de Fake ID vuln, zegt Forristal dat hij meer zal onthullen op de Black Hat Conference in Las Vegas op 2 augustus. In zijn verklaring zei Google dat het alle apps in zijn Play Store had gescand, en sommige gehost in andere app-winkels en vonden geen aanwijzingen dat de exploit in de echte wereld werd gebruikt.

De oplossing - Android-bugs oplossen met Google Play

Via Play Services kan Google deze bug effectief castreren in het grootste deel van het actieve Android-ecosysteem.

Fake ID is een ernstig beveiligingsprobleem dat een kwaadwillende aanvaller ernstige schade kan toebrengen. En omdat de onderliggende bug pas recentelijk is aangepakt in AOSP, lijkt het erop dat de overgrote meerderheid van Android-telefoons open staat voor aanvallen en dat ook in de nabije toekomst zal blijven. Zoals we eerder hebben besproken, is de taak om de miljard actieve Android-telefoons bijgewerkt te krijgen een enorme uitdaging, en 'fragmentatie' is een probleem dat is ingebouwd in het DNA van Android. Maar Google heeft een troef te spelen bij het omgaan met beveiligingsproblemen zoals deze - Google Play Services.

Net zoals Play Services nieuwe functies en API's toevoegt zonder een firmware-update te vereisen, kan het ook worden gebruikt om beveiligingslekken te dichten. Enige tijd geleden heeft Google een functie 'Apps verifiëren' toegevoegd aan Google Play Services om apps op schadelijke inhoud te scannen voordat ze worden geïnstalleerd. Bovendien is het standaard ingeschakeld. In Android 4.2 en hoger leeft het onder Instellingen> Beveiliging; in oudere versies vindt u het onder Google Instellingen> Apps verifiëren. Zoals Sundar Pichai zei op Google I / O 2014, gebruikt 93 procent van de actieve gebruikers de nieuwste versie van Google Play-services. Zelfs onze oude LG Optimus Vu, met Android 4.0.4 Ice Cream Sandwich, heeft de optie "Apps verifiëren" van Play Services om op zijn hoede te zijn voor malware.

Google heeft Android Central bevestigd dat de functie "Apps verifiëren" en Google Play zijn bijgewerkt om gebruikers tegen dit probleem te beschermen. Beveiligingsbugs op app-niveau zijn inderdaad precies wat de functie "Apps verifiëren" is ontworpen om hiermee om te gaan. Dit beperkt de impact van Fake ID op elk apparaat met een up-to-date versie van Google Play Services aanzienlijk - verre van dat alle Android-apparaten kwetsbaar zijn, heeft Google's actie om Fake ID via Play Services aan te pakken het effectief gecastreerd voordat het probleem zelfs openbaar werd kennis.

We zullen meer te weten komen wanneer informatie over de bug beschikbaar komt bij Black Hat. Maar omdat de app-verificateur en de Play Store van Google apps kunnen vangen met behulp van Fake ID, lijkt de claim van BlueBox dat "alle Android-gebruikers sinds januari 2010" in gevaar zijn overdreven. (Toegegeven, gebruikers die een apparaat gebruiken met een niet-door Google goedgekeurde versie van Android, blijven in een slechtere situatie.)

Play Services laten fungeren als poortwachter is een noodoplossing, maar het is een behoorlijk effectieve oplossing.

Hoe dan ook, het feit dat Google sinds april op de hoogte is van Fake ID maakt het zeer onwaarschijnlijk dat apps die de exploit gebruiken in de toekomst de Play Store zullen bereiken. Zoals de meeste Android-beveiligingsproblemen, is de eenvoudigste en meest effectieve manier om met nep-ID om te gaan, slim te zijn over waar u uw apps vandaan haalt.

Natuurlijk is het voorkomen van misbruik van een kwetsbaarheid niet hetzelfde als het volledig elimineren. In een ideale wereld zou Google in staat zijn om via de ether een update naar elk Android-apparaat te sturen en het probleem voor altijd op te lossen, net als Apple. Play Services en de Play Store laten fungeren als poortwachters is een noodoplossing, maar gezien de omvang en de uitgestrekte aard van het Android-ecosysteem is het een behoorlijk effectieve oplossing.

Het maakt het niet OK dat veel fabrikanten nog steeds veel te lang doen om belangrijke beveiligingsupdates naar apparaten te pushen, met name minder bekende, omdat dit soort kwesties de neiging hebben te benadrukken. Maar het is veel beter dan niets.

Het is belangrijk om op de hoogte te zijn van beveiligingsproblemen, vooral als je een technisch onderlegde Android-gebruiker bent - het soort persoon waar gewone mensen om hulp vragen als er iets misgaat met hun telefoon. Maar het is ook een goed idee om dingen in perspectief te houden en te onthouden dat niet alleen de kwetsbaarheid belangrijk is, maar ook de mogelijke aanvalsvector. In het geval van het door Google beheerde ecosysteem zijn de Play Store en Play Services twee krachtige tools waarmee Google malware kan verwerken.

Dus blijf veilig en blijf slim. We houden u op de hoogte met verdere informatie over Fake ID van de belangrijkste Android-OEM's.

Update: een Google-woordvoerder heeft Android Central de volgende verklaring verstrekt:

"We waarderen het dat Bluebox deze kwetsbaarheid op verantwoorde wijze aan ons rapporteert; onderzoek door derden is een van de manieren waarop Android sterker wordt gemaakt voor gebruikers. Na melding te hebben gemaakt van deze kwetsbaarheid, hebben we snel een patch uitgegeven die is gedistribueerd naar Android-partners, evenals naar AOSP. Google Play en Verify Apps zijn ook verbeterd om gebruikers tegen dit probleem te beschermen. Op dit moment hebben we alle bij Google Play ingediende applicaties gescand, evenals die die Google heeft beoordeeld van buiten Google Play en we hebben geen bewijs gezien van een poging misbruik van dit beveiligingslek."

Sony heeft ons ook verteld dat het bezig is om de Fake ID-fix naar zijn apparaten te duwen.