Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

V operačním systému Android byla objevena nová závažná bezpečnostní chyba, která by mohla umožnit škodlivé aplikaci získat přístup k osobním a důvěrným datům. Bezpečnostní firma BlueBox, která pomáhá společnostem zabezpečit data na mobilních zařízeních, včera publikovala svůj objev a ukázala, jak útočníci mohou dostat do telefonu škodlivý program vydávaný za důvěryhodnou aplikaci. Pojďme se podívat blíže na to, co díra “Fake ID” znamená v praxi a zda se jí musíte obávat i vy.

Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem

Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty instalačních balíčků aplikací. Digitální certifikáty jsou něco jako “vodoznak” nebo podpis v aplikaci, který ověřuje jejího vydavatele. Problém je, že Android žádným způsobem nekontroluje deklarovaného autora proti skutečnému vydavateli, aby se ujistil, že instalovaná aplikace je opravdu tou, za kterou se vydává. Škodlivá aplikace tedy může napodobovat certifikát jiného programu a “přesvědčit” tak systém Android s tím, že má oprávnění a přístup k hardwaru jako legitimní aplikace.

Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty Podstata problému tkví v tom, jak Android kontroluje digitální certifikáty

Každá aplikace pro Android má svůj vlastní digitální podpis – v podstatě “identifikační kartu”, či v našich končinách přesněji “průkaz totožnosti”. Například programy firmy Adobe Systems mají specifický podpis a všechny aplikace Adobe mají ID, které vychází z tohoto podpisu. BlueBox zjistil, že když aplikace používá ID, odkazující na Adobe, Android zpětně nekontroluje jeho platnost. Je tedy možné vytvořit škodlivý software vycházející z podpisu Adobe a infiltrovat se tak do systému.

Technologický ředitel BlueBoxu Jeff Forristal k tomu řekl: “V podstatě jsme objevili způsob, jak vytvořit falešnou identitu. Jsou zde různé vektory, ale všechny směřují do bodu, kdy mohu vytvořit falešnou identitu. Otázkou je jen to, čí identita to bude.”

Tato chyba představuje vážnou hrozbu pro bezpečnost, protože není omezena pouze na jednu aplikaci. Zajímavé mohou být platební nástroje, jako jsou Google Wallet nebo PayPal, skrze které hackeři mohli získat přístup k osobním, finančním a dalším datům. Využití identity software pro vzdálenou správu zařízení může dovolit útočníkům téměř plnou kontrolu nad zařízením.

Firma BlueBox dokončila svou zprávu v březnu a o výsledcích 31. března informovala Google. Ten reagoval pohotově a připravil opravu, kterou následně rozeslal výrobcům zařízení a publikoval záplatu do AOSP (Android Open Source Project). Výrobci měli devadesát dnů na vydání bezpečnostních záplat – teprve poté hodlala firma BlueBox prezentovat svá zjištění veřejně.

Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 výše Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 výše

Google se oficiálně vyjádřil v tomto duchu: “Vážíme si toho, že nám BlueBox nahlásil tuto zranitelnost; výzkum třetích stran je jedním ze způsobů, jak učinit Android silnějším pro uživatele. Po obdržení hlášení o této chybě zabezpečení jsme rychle vydali opravu, která byla distribuována partnerům, stejně jako uvolněna do AOSP. Byla také posílena ochrana uživatelů proti tomuto problému v rámci Obchodu Play a ověřování instalovaných aplikací.”

Chyba se týká všech zařízení s operačním systémem Android od verze 2.1 (vydané v lednu 2010) výše, nicméně nejnovější verze 4.4 KitKat po dubnové aktualizaci již má tuto díru uzavřenou. Chcete-li si udělat představu o potenciálním rozsahu nebezpečí, pak vězte, že jen od roku 2012 do roku 2013 se prodaly asi 1,4 miliardy nových zařízení s operačním systémem Android.

Výzkumníci z BlueBoxu ještě před publikováním zprávy otestovali 40 zařízení se systémem Android a zjistili, že opravu zatím uvolnil pouze jediný výrobce.

Nic ale není tak horké, jak se uvaří, takže i zde máme relativně pozitivní informace: Google oznámil, že zkontroloval všechny aplikace v Obchodě Play, stejně jako řadu dalších, kontrolovaných operačním systémem Android v průběhu instalace z jiných zdrojů. Zjistil, že uvedená bezpečnostní díra dosud není zneužívána, nicméně s ohledem na zveřejnění lze předpokládat, že je jen otázkou času, kdy se tak stane.

Co to všechno nakonec znamená pro uživatele? V tuto chvíli se zdá, že neexistuje reálné nebezpečí. Google je na pozoru a výrobci mají k dispozici opravu, nicméně zjevně poněkud zaspali a ani po třech měsících ji většina neuvolnila formou aktualizace.

Zdroje: Android and Me, Bloomberg Businessweek, Phandroid, Beta News.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (17)