Menu

Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

V operačním systému Android byla objevena nová závažná bezpečnostní chyba, která by mohla umožnit škodlivé aplikaci získat přístup k osobním a důvěrným datům. Bezpečnostní firma BlueBox, která pomáhá společnostem zabezpečit data na mobilních zařízeních, včera publikovala svůj objev a ukázala, jak útočníci mohou dostat do telefonu škodlivý program vydávaný za důvěryhodnou aplikaci. Pojďme se podívat blíže na to, co díra “Fake ID” znamená v praxi a zda se jí musíte obávat i vy.

Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty instalačních balíčků aplikací. Digitální certifikáty jsou něco jako “vodoznak” nebo podpis v aplikaci, který ověřuje jejího vydavatele. Problém je, že Android žádným způsobem nekontroluje deklarovaného autora proti skutečnému vydavateli, aby se ujistil, že instalovaná aplikace je opravdu tou, za kterou se vydává. Škodlivá aplikace tedy může napodobovat certifikát jiného programu a “přesvědčit” tak systém Android s tím, že má oprávnění a přístup k hardwaru jako legitimní aplikace.

Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty

Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty

Každá aplikace pro Android má svůj vlastní digitální podpis – v podstatě “identifikační kartu”, či v našich končinách přesněji “průkaz totožnosti”. Například programy firmy Adobe Systems mají specifický podpis a všechny aplikace Adobe mají ID, které vychází z tohoto podpisu. BlueBox zjistil, že když aplikace používá ID, odkazující na Adobe, Android zpětně nekontroluje jeho platnost. Je tedy možné vytvořit škodlivý software vycházející z podpisu Adobe a infiltrovat se tak do systému.

Technologický ředitel BlueBoxu Jeff Forristal k tomu řekl: “V podstatě jsme objevili způsob, jak vytvořit falešnou identitu. Jsou zde různé vektory, ale všechny směřují do bodu, kdy mohu vytvořit falešnou identitu. Otázkou je jen to, čí identita to bude.”

V podstatě jsme objevili způsob, jak vytvořit falešnou identitu

V podstatě jsme objevili způsob, jak vytvořit falešnou identitu

Tato chyba představuje vážnou hrozbu pro bezpečnost, protože není omezena pouze na jednu aplikaci. Zajímavé mohou být platební nástroje, jako jsou Google Wallet nebo PayPal, skrze které hackeři mohli získat přístup k osobním, finančním a dalším datům. Využití identity software pro vzdálenou správu zařízení může dovolit útočníkům téměř plnou kontrolu nad zařízením.

Firma BlueBox dokončila svou zprávu v březnu a o výsledcích 31. března informovala Google. Ten reagoval pohotově a připravil opravu, kterou následně rozeslal výrobcům zařízení a publikoval záplatu do AOSP (Android Open Source Project). Výrobci měli devadesát dnů na vydání bezpečnostních záplat – teprve poté hodlala firma BlueBox prezentovat svá zjištění veřejně.

Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 výše

Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 výše

Google se oficiálně vyjádřil v tomto duchu: “Vážíme si toho, že nám BlueBox nahlásil tuto zranitelnost; výzkum třetích stran je jedním ze způsobů, jak učinit Android silnějším pro uživatele. Po obdržení hlášení o této chybě zabezpečení jsme rychle vydali opravu, která byla distribuována partnerům, stejně jako uvolněna do AOSP. Byla také posílena ochrana uživatelů proti tomuto problému v rámci Obchodu Play a ověřování instalovaných aplikací.”

Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 (vydané v lednu 2010) výše, nicméně nejnovější verze 4.4 KitKat po dubnové aktualizaci již má tuto díru uzavřenou. Chcete-li si udělat představu o potenciálním rozsahu nebezpečí, pak vězte, že jen od roku 2012 do roku 2013 se prodaly asi 1,4 miliardy nových zařízení s operačním systémem Android.

Výzkumníci z BlueBoxu ještě před publikováním zprávy otestovali 40 zařízení se systémem Android a zjistili, že opravu zatím uvolnil pouze jediný výrobce.

Nic ale není tak horké, jak se uvaří, takže i zde máme relativně pozitivní informace: Google oznámil, že zkontroloval všechny aplikace v Obchodě Play, stejně jako řadu dalších, kontrolovaných operačním systémem Android v průběhu instalace z jiných zdrojů. Zjistil, že uvedená bezpečnostní díra dosud není zneužívána, nicméně s ohledem na zveřejnění lze předpokládat, že je jen otázkou času, kdy se tak stane.

Co to všechno nakonec znamená pro uživatele? V tuto chvíli se zdá, že neexistuje reálné nebezpečí. Google je na pozoru a výrobci mají k dispozici opravu, nicméně zjevně poněkud zaspali a ani po třech měsících ji většina neuvolnila formou aktualizace.

Zdroje: Android and Me, Bloomberg Businessweek, Phandroid, Beta News.

 

Komentáře

Xender

Xender 0

z aplikace
30.7.2014 9:17

Je fakt smutný když výrobci mají k dispozici opravu chyby ale i přes to nevydají aktualizací která tuto chybu odstraní. O důvod víc přejít na CM11.

PowerfulCZ

z aplikace
30.7.2014 10:03

Zajímalo by mě, který ten výrobce je ten jediný, kdo tu záplatu aplikoval. Osobně tuším, že Sony.

Martin

Martin

30.7.2014 10:41

Motorola? Moje Moto G dostala 4.4.4 pred cca 2 tydny (predtim 4.4.2).

bitboy

bitboy

30.7.2014 12:06

Xender: tato chyba je skor o dovod viac odist od androidu uplne. Zavaznost tejto chyby je obrovska. Tu uz je na mieste otazka, ako je vobec mozne, ze takato chyba vznikla.

Xender

Xender 0

z aplikace
30.7.2014 12:09

bitboy: každý systém má svoje bezpečností chyby.

bitboy

bitboy

30.7.2014 12:21

Xender: Samozrejme, ze kazdy system ma svoje bezpecnostne chyby, ale su chyby a CHYBY. Toto je jedna z najzavaznejsich chyb v historii mobilnych OS a predstavuje hrozbu pre desiatky milionov nic netusiacich ludi, ktori nikdy ziadnu opravu nedostanu.

Eruvëo

Eruvëo

30.7.2014 12:33

Mě spíš zaráží, že vůbec informace o těchto chybách zveřejňují, jasný, máme právo o tom vědět, ael když v podstatě problém “není” vyřešen na všech zařízení…tak akorát dávají návod hackerům na co se zaměřit…to je jak se zprávami kde vám ukáží dítě co vraždilo ve své škole a podrobně popíší jak to udělal…akorát inspirace pro další…

uni

uni

30.7.2014 13:19

Eruvëo: Situace u Androidu je velmi špatná (bezpečnost, aktualizace), musí se to téma co nejvíce tlačit, aby výrobci (i Google) se konečně začali chovat zodpovědně. Když s tím nemá problém MS (který záplatuje nekonečně širokou HW konfigurační množinu ve Windows) jistě to může dělat i Google (a třeba skrz vynucené updaty u výrobců, tedy aspoň těch, co systém certifikují).

Game

z aplikace
30.7.2014 16:44

Doufám že kluci v CM to máj opraveny :)

Faktuzmemegazacinatestvat

Faktuzmemegazacinatestvat

30.7.2014 18:53

Místní diskutující jsou přece v zabezpečení nejchytřejší … => není se čeho bát. Tyto novinky + to co zde neustále píšu = hoax …

dawidececk

30.7.2014 23:29

Aha, takže uživatel si nainstaluje z Google Play aplikaci naprosto stejně vypadající, která by tam jistě vydržela nekonečné dlouho, povolí ji přístup při instalaci a potom jí spustí…
Jak chytré ;)

Jirka

Jirka

z aplikace
30.7.2014 23:49

uff ještě že na mobilu u tabletu mám android 4.4 ;)

bitboy

bitboy

31.7.2014 1:10

Jirka: tato chyba je aj v 4.4.

bitboy

bitboy

31.7.2014 1:18

dawidececk: cele je to trochu inak a clanok je skor metuci nez objasnujuci. Kedze sa jedna o vazny problem, snad mi redakcia prepaci, tu je link na clanok jasnejsie vysvetlujici princip a nasledky: http://dsl.sk/article.php?article=15893

J.dvorak85

Honza Dvořák 0

31.7.2014 9:10

bitboy:
Díky za doplnění.

mcmartincerny

z aplikace
1.8.2014 1:38

Jsem rád že mám nexus 5 a nexus 7, Jojo ten pocit bezpečí :-P

MILOS

MILOS

z aplikace
2.8.2014 21:25

Já si myslím.že to chyba googlu není.když výrobcům tu opravu ty chyby uvolnil aby ji uživatelům poslali přes net…Tady je vidět jak ty chytrý mobily ti výrobci s dovolením flakaji a hlavně.že to stojí hromadu tisic.Ty lepší modely víc jak 10 000 ale jak už tady v diskuzi zaznělo s tema aktualizacema a updatama jak Androidu tak ty opravy bezpecnosnich chyb je to fakt ubohost nebo snad ne?

RSS (komentáře k článku)