Fake ID – system poświadczeń Androida jest dziurawy. Na atak są narażeni użytkownicy wszystkich wersji systemu

W przeciągu ostatnich dwóch miesięcy informowaliśmy o wielu problemach związanych z bezpieczeństwem Androida. Nie wiemy, czy to jakaś plaga, niemniej dzisiaj mamy kolejną złą wiadomość dotyczącą tej kwestii. Firma Bluebox Security odkryła błąd, który pozwala szkodliwemu oprogramowaniu na przejęcie kontroli nad urządzeniem i to bez posiadania jakichkolwiek szczególnych uprawnień. Malware podczas instalacji wcale nie musi wydawać się podejrzane, aby mogło dokonać niszczycielskich działań i wykradać dane użytkowników. Co gorsza, narażeni są wszyscy użytkownicy tego systemu.

Błąd ten został ochrzczony mianem „Fake ID”, ponieważ właśnie to najprościej opisuje zasadę działania – szkodliwa aplikacja wysyła do systemu fałszywe poświadczenia. Ten nieprawidłowo weryfikuje podpis kryptograficzny, przez co udziela aplikacji… wszystkich dostępnych uprawnień oryginalnej aplikacji, za jaką przedstawia się malware. W efekcie tego, podczas instalacji tego typu szkodnika użytkownik widzi komunikat o braku wymagań jakichkolwiek uprawnień specjalnych, a w rzeczywistości aplikacja może dużo. Dróg do przejęcia kontroli nad urządzeniem i innymi aplikacjami jest natomiast wiele. Informacje o problemie zostały przekazane do Google trzy miesiące temu, Jeff Forristal z Bluebox Security ma zamiar zaprezentować lukę podczas konferencji BlackHat USA 2014, jaka będzie miała miejsce w przyszłym tygodniu w Las Vegas.

Problem ten jest o tyle poważny, że Google dało szerokie uprawnienia wielu znanym i zaufanym aplikacjom. To nic złego, o ile cały mechanizm działałby prawidłowo. Teraz tak nie jest, twórcy szkodliwego oprogramowania mogą więc w swoich aplikacjach, które „nie wymagają żadnych uprawnień” wysyłać fałszywe poświadczenia z tych zaufanych i przejmować ich rolę. Możliwe jest także tworzenie klonów zaufanych aplikacji i przejmowanie danych z tych oryginalnych, oraz innych elementów systemu: kontaktów, danych skonfigurowanych kont, danych przechowywane w chmurach jakie są skonfigurowane na urządzeniu, a także informacjach o płatnościach użytkownika.

Kolejnym problemem jest zintegrowany w Androidzie Adobe Flash. Google postanowiło jego obsługę zintegrować z samą przeglądarką systemową w komponencie webView, a zrezygnowało z tego rozwiązania dopiero w Androidzie 4.4 KitKat. Jeżeli sądzicie, że we wcześniejszych wersjach da się użyć Fake ID do przejęcia uprawnień Flasha, to trafiliście w dziesiątkę. Taki atak pozwala na ominięcie piaskownicy, w jakiej są zamknięte aplikacje, a następnie przejęcie kontroli nad innymi programami. Jako przykłady są przytaczane Salesforce, oraz klient usługi OneDrive, aby pokazać, jak duże jest to zagrożenie. Aplikacja może przechwytywać ruch sieciowy innych programów, przejmować zapisywane przez nie dane, a także korzystać z ich uprawnień. Innym przykładem jest NFC i aplikacja Google Wallet, która również może zostać wykorzystana w taki sposób. Na atak podatny jest również Fire OS od Amazonu, oraz różnego rodzaju modyfikacje, jak np. popularne chińskie MIUI.

Na atak narażeni są użytkownicy każdej wersji Androida, bo pomimo, że w KitKacie Flash został usunięty, nadal można podszyć się pod dowolną aplikację – można go wykorzystać nawet w testowych wydaniach Androida L. Sprawa to rzuca cień na cały system weryfikacji przez cyfrowe sygnatury zastosowany w Androidzie, tym bardziej, że aplikacje wykorzystujące tą podatność mogą znajdować się w sklepie Google Play. Sama jego idea jest dobra, niestety jak się okazuje, implementacja ze strony Google była nieprawidłowa. Konieczne stało się przeskanowanie całej bazy aplikacji, oraz znalezienie rozwiązania tego problemu. Nawet jeżeli zostanie znalezione, większość użytkowników najprawdopodobniej go nie otrzyma w związku z taką, a nie inną polityką aktualizacji oprogramowania przyjętą przez producentów sprzętu z Androidem.

Aktualizacja 2014-07-31, 13:40

Google zajęło się już tym problemem i przesłało do producentów łatki poprzez AOSP (Android Open Source Project). Teraz od nich zależy, czy urządzenia zyskają aktualizację, która zabezpieczy przed Fake ID. Przeskanowany został również cały sklep Google Play, nie zostały wykryte aplikacje korzystające z tej podatności. Zalecamy do korzystania tylko z oficjalnych kanałów dystrybucyjnych, oraz stron, które z nich korzystają (np. nasza baza aplikacji mobilnych). Instalowanie plików APK z zewnętrznych źródeł to narażanie się na infekcję systemu i koszty.