Pamata “viltus id” kļūda ļauj ļaunprātīgai programmatūrai kļūt savrupai

Viena no labākajām lietām mobilajās operētājsistēmās ir smilšu kaste. Šis paņēmiens sadala lietojumprogrammas, neļaujot riskantām lietotnēm (vai jebkurai lietotnei) brīvi pārvaldīt jūsu Android. Bet jauna ievainojamība var nozīmēt, ka Android smilšu kaste nav tik spēcīga, kā mēs domājām.

Kas tas ir?

Melnajā cepurē Džefs Forristāls parādīja, kā kļūda, kā Android rīkojas ar sertifikātiem, varētu tikt izmantota, lai aizbēgtu no smilšu kastes. To pat varētu izmantot, lai ļaunprātīgām lietotnēm piešķirtu augstākus privilēģiju līmeņus, turklāt nedodot upuriem iespēju saprast, kas notiek viņu tālrunī. Forristal sacīja, ka šo ievainojamību var izmantot, lai nozagtu datus, paroles un pat pilnībā kontrolētu vairākas lietotnes.

Izdošanas centrā ir sertifikāti, kas būtībā ir maz kriptogrāfiski dokumenti, kas ir domāti, lai nodrošinātu, ka lietotne ir tā, par kuru tā apgalvo. Forristal paskaidroja, ka tā ir tieši tāda pati tehnoloģija, kuru tīmekļa vietnes izmanto autentiskuma nodrošināšanai. Bet Android, izrādās, nepārbauda kriptogrāfiskās attiecības starp sertifikātiem. Forristal sacīja, ka šī kļūda ir diezgan būtiska Android drošības sistēmai.

Praktisks rezultāts ir tāds, ka varat izveidot ļaunprātīgu lietojumprogrammu, izmantot viltus sertifikātu un, ciktāl tas attiecas uz Android, lietotne ir likumīga. Šī pamatproblēma, kuras dēļ Forristal izsauc viltus ID, ievieš daudzas ievainojamības un izmanto Android. Demonstrācijas laikā Forristal sešas dienas iepriekš izmantoja pavisam jaunu tālruni, kas tika iepirkts.

Ko tas dara

Demonstrējot, Forristal izmantoja viltotu Google Services atjauninājumu, kurā bija ietverts ļaunprātīgs kods, izmantojot vienu no Fake ID ievainojamībām. Lietotne tika piegādāta kopā ar sociālās inženierijas e-pastu, kurā uzbrucējs ir upura IT nodaļas sastāvdaļa. Kad upuris dodas instalēt lietotni, viņš redz, ka lietotnei nav vajadzīgas nekādas atļaujas un tā šķiet likumīga. Instalēšana tiek veikta operētājsistēmā Android, un šķiet, ka viss ir kārtībā.

Bet fonā Forristal lietotne ir izmantojusi Fake ID ievainojamību, lai automātiski un nekavējoties ievadītu ļaunprātīgu kodu citās ierīces lietotnēs. Konkrēti, Adobe sertifikāts Flash atjaunināšanai, kuras informācija tika kodēta operētājsistēmā Android. Dažu sekunžu laikā viņš kontrolēja piecas ierīces lietotnes - dažām no tām bija dziļa pieeja upura ierīcei.

Šī nav pirmā reize, kad Forristal sajaucas ar Android. Jau 2013. gadā Forristal sāka satraukt Android kopienu, kad viņš atklāja tā saukto Master Key exploit. Šī plaši izplatītā ievainojamība nozīmēja, ka viltotas lietotnes var tikt maskētas kā likumīgas, potenciāli piešķirot ļaunprātīgām lietotnēm bezmaksas caurlaidi.

Pārbaudiet ID

Forristal uzstāšanās ne tikai sniedza mums atvērtas ziņas par Android, bet arī deva rīku oursevles aizsardzībai. Forristal izlaida bezmaksas skenēšanas rīku, lai atklātu šo ievainojamību. Protams, tas joprojām nozīmē, ka cilvēkiem būs jānovērš ļaunprātīgas programmatūras nokļūšana viņu tālruņos.

Par kļūdu ziņots arī uzņēmumam Google, un acīmredzot plāksteri parādās dažādos līmeņos.

Vēl svarīgāk ir tas, ka viss uzbrukums ir atkarīgs no tā, vai upuris instalē lietotni. Tiesa, tam nav sarkanā karoga, kurā tiek lūgts daudz atļauju, taču Forristal teica, ka, ja lietotāji izvairās no lietotnēm no “ēnainām vietām” (lasīt: ārpus Google Play), viņi būs droši. Vismaz pagaidām.