Основният недостатък „фалшив идентификатор“ позволява на зловредния софтуер да се диви

Едно от най-добрите неща за мобилните операционни системи е пясъчниците. Тази техника разделя приложенията, като не позволява на рисковите приложения (или всяко приложение) да имат безплатни въжета над вашия Android. Но нова уязвимост може да означава, че пясъчната кутия на Android не е толкова силна, колкото си мислехме.

Какво е?

В Black Hat Джеф Фористал демонстрира какъв недостатък в начина, по който Android обработва сертификатите, може да се използва за бягство от пясъчната кутия. Дори може да се използва, за да даде на злонамерените приложения по-високи нива на привилегии, всички без да дава на жертвите представа какво се случва в телефона им. Forristal каза, че тази уязвимост може да се използва за кражба на данни, пароли и дори да поеме пълен контрол над множество приложения.

В основата на изданието са сертификатите, които всъщност са малко криптографски документи, които са предназначени да гарантират, че приложението е това, което твърди, че е. Forristal обясни, че това е същата технология, използвана от уебсайтовете, за да се гарантира автентичността. Но Android, оказва се, не изследва криптографските връзки между сертификатите. Този недостатък, каза Forristal, е "доста основен за системата за сигурност на Android".

Практическият резултат е, че можете да създадете злонамерено приложение, да използвате фалшив сертификат, а що се отнася до Android, приложението е законно. Този основен проблем, който Forristal нарича Fake ID, въвежда многобройни уязвимости и експлоатации в Android. По време на демонстрацията си Forristal използва чисто нов телефон, закупен преди шест дни.

Какво прави

В демонстрацията си Forristal използва фалшива актуализация на Google Services, която съдържаше злонамерен код, използвайки една от уязвимостите на фалшивите идентификатори. Приложението беше доставено заедно с имейл за социално инженерство, където нападателят се представя като част от информационния отдел на жертвата. Когато жертвата отива да инсталира приложението, той вижда, че приложението не изисква никакви разрешения и изглежда легитимно. Android извършва инсталацията и всичко изглежда наред.

Но на заден план приложението на Forristal използва уязвимостта на фалшив идентификатор, за да автоматично и незабавно да инжектира злонамерен код в други приложения на устройството. По-специално сертификат на Adobe за актуализиране на Flash, чиято информация беше твърдо кодирана в Android. След секунди той имаше контрол върху пет приложения на устройството - някои от тях имаха дълбок достъп до устройството на жертвата.

Това не е първият път, когато Forristal се забърква с Android. Още през 2013 г. Forristal стресна общността на Android, когато разкри така наречения експлоатация на Master Key. Тази широко разпространена уязвимост означаваше, че фалшивите приложения могат да бъдат прикрити като легитимни, което потенциално дава на злонамерените приложения безплатен пропуск.

Проверете идентификационния номер

Представянето на Forristal не ни даде само открояващите новини за Android, но и ни даде инструмент за защита на нашите собственици. Forristal пусна безплатен инструмент за сканиране, за да открие тази уязвимост. Разбира се, това все още означава, че хората ще трябва да предотвратят появата на зловреден софтуер на техните телефони.

Грешката също е била докладвана на Google и очевидно петна излизат на различни нива.

По-важното е, че цялата атака зависи от жертвата, която инсталира приложението. Вярно е, че няма червен флаг да иска много разрешения, но Forristal каза, че ако потребителите избягват приложения от „сенчести места“ (четете: извън Google Play), те ще бъдат в безопасност. Поне засега.