Обнаружена критическая уязвимость системы Android – Fake ID
17.11.2014
Большинство современных Android-устройств содержат уязвимость, открывающая вредоносным программам доступ к данным установленных приложений и всего устройства в целом. Android не выполняет проверку сертификата открытого ключа для цифровой подписи приложений, говорит Джефф Форристал, главный технический директор BlueBox Security, компании из Сан-Франциско.
Документация Google говорит, что Android-приложения должны быть подписаны, чтобы получить возможность установки в операционной системе, но используемый для подписи цифровой сертификат не обязательно должен быть выдан органом цифровых сертификатов. «Для приложений на Android допустимо использование собственных сертификатов», говорит документация.
Несмотря на это, Android содержит запрограммированные сертификаты от ряда разработчиков, с той целью, чтобы они могли дать приложениям от этих разработчиков специальный доступ и полномочий внутри ОС, говорит Форристал.
Один заданный сертификат принадлежит компании Adobe и даёт подписанным им приложениям возможность внедрять код в другие установленные приложения. Форристал считает, что это сделано для того, чтобы позволить другим приложениям использовать плагин Adobe Flash Player.
Процесс проверки цепочки сертификатов использует криптографию, чтобы проверить отношения между всеми сертификатами в цепочке. Она может содержать промежуточные сертификаты, поэтому система начнёт с проверки того, что используемый для подписи приложения сертификат действительно подписан следующим сертификатом в цепочке. Дальше проверяется, подписан ли этот сертификат следующим, и так далее, пока не будет достигнут надёжный сертификат Adobe.
По крайнем мере, так должно быть в теории: Форристал говорит, что Android не производит эту процедуру, поэтому злоумышленник может подписать вредоносное приложение сертификатом, который «кажется» подписанным сертификатом Adobe, но на самом деле это не так. Пока в цепочке сертификатов присутствует сертификат Adobe, система берёт код из приложения и внедряет его в другие установленные приложения.
Код становится частью других приложений, наследуя их разрешения. Он обретает доступ ко всем хранящимся в приложениях данным, их сетевому трафику и способен выполнять действия, которые этим программам разрешено выполнять на устройстве.
Атака может быть применена только при использовании компонента WebView на Android версии старше 2.1. WebView - это функция, обычно используемая приложениями для отображения веб-содержимого с помощью браузера, встроенный в Android.
В Android KitKat компонент WebView не основан на Chromium с открытым исходным кодом браузера и больше не поддерживает этот плагин внедрения кода, говорит Форристал. Тем не менее, атака затрагивает большое количество пользователей. По статистике Google, с начала июля примерно 88% устройств, использующих магазин Google Play, работали на версии Android младше 4.4.
«Вредоносным программам очень легко использовать эту уязвимость, при этом никакого уведомления пользователей не происходит». Вредоносному приложению не нужно никаких специальных разрешений, а нужно просто содержать в себе код WebView, который он может закачать после своей установки.
Злоупотребление сертификатом Adobe не является единственно возможным вектором атаки, так как Android имеет по крайней мере два других жестко запрограммированных сертификата, которые дают приложениям специальный доступ. Одним из них является сертификат технологии управления мобильным устройством, разработанной компанией 3LM, которая была приобретена в начале 2011 года Motorola Mobility, прежде чем Google приобрела саму Motorola Mobility.
Расширения от 3LM не являются частью проекта Android Open Source (AOSP), но включены в различные устройства производства компаний Sony, HTC, Motorola, Samsung, LG и некоторых менее крупных производителей. Любое приложение с сертификатом 3LM в своей цепочке сертификатов может использовать расширения управления устройствами, чтобы автоматически устанавливать новые приложения, изменять системные настройки и брать под контроль устройства.
Наконец, третий сертификат используется Google Wallet и обеспечивает доступ к аппаратному элементу безопасности NFC (Near-Field Communication), который используется для хранения конфиденциальной информации, например, номера кредитных карт при обработки платежей.
У исследователи безопасности BlueBox не было времени, чтобы проанализировать влияние этого вектора атаки в подробностях, но само его существование, скорее всего, нарушает модель безопасности Android для безопасного элемента NFC, считает Форристал.
Проверка уязвимости цепочки сертификатов, которые Bluebox называет фальшивым удостоверением (Fake ID), была отправлена Google в апреле, и патч уже был представлен производителям устройств.
«После получения описания этой уязвимости мы быстро выпустил патч, который был распространен среди Android-партнёров, а также для AOSP», сообщил представитель Google по электронной почте. «Магазин Google Play и проверка приложений также были модифицированы, чтобы защитить пользователей от этой проблемы. Мы просканировали все заявки, поданные на Google Play, а также за пределами Google Play, и мы обнаружили никаких признаков попыток воспользоваться данной уязвимостью».
Motorola выпустила закрывающее неисправность обновление для некоторых устройств, то же самое готовятся сделать другие производители. Однако, в связи с фрагментацией экосистемы Android, доступность обновлений и скорость их распространения широко разнятся между различными производителями и операторами связи. Некоторые затронутые устройства уже не поддерживается и никогда не получат обновления.
Bluebox представила бесплатное приложение, способное проверить, подвержено ли устройство воздействию атак Fake ID.
Все же стоит отдать Android должно, так как не многим удается столькие годы блокировать атаки хакеров. Наверное, каждый согласится, что столь совершенные гаджеты, которые работают на универсальной операционной системе необходимо оснащать только лучшими аксессуарами, среди которых, конечно же, является красивый номер. Интернет-магазин предлагает каждому желающему купить красивый номер Билайн на наиболее выгодных условиях, при этом вам достаточно просто связаться с представителями нашей компании любым удобным способом. Мы предлагаем наиболее широкий ассортимент номеров и безлимитных тарифов на всей территории Рунета, что делает нас действительно лучшими.
Комментарии
Пока нет комментариев