Fake ID – system poświadczeń Androida jest dziurawy. Na atak są narażeni użytkownicy wszystkich wersji systemu

Fake ID – system poświadczeń Androida jest dziurawy. Na atak są narażeni użytkownicy wszystkich wersji systemu29.07.2014 17:17
Redakcja

W przeciągu ostatnich dwóch miesięcy informowaliśmy o wielu problemach związanych z bezpieczeństwem Androida. Nie wiemy, czy to jakaś plaga, niemniej dzisiaj mamy kolejną złą wiadomość dotyczącą tej kwestii. Firma Bluebox Security odkryła błąd, który pozwala szkodliwemu oprogramowaniu na przejęcie kontroli nad urządzeniem i to bez posiadania jakichkolwiek szczególnych uprawnień. Malware podczas instalacji wcale nie musi wydawać się podejrzane, aby mogło dokonać niszczycielskich działań i wykradać dane użytkowników. Co gorsza, narażeni są wszyscy użytkownicy tego systemu.

Błąd ten został ochrzczony mianem „Fake ID”, ponieważ właśnie to najprościej opisuje zasadę działania – szkodliwa aplikacja wysyła do systemu fałszywe poświadczenia. Ten nieprawidłowo weryfikuje podpis kryptograficzny, przez co udziela aplikacji… wszystkich dostępnych uprawnień oryginalnej aplikacji, za jaką przedstawia się malware. W efekcie tego, podczas instalacji tego typu szkodnika użytkownik widzi komunikat o braku wymagań jakichkolwiek uprawnień specjalnych, a w rzeczywistości aplikacja może dużo. Dróg do przejęcia kontroli nad urządzeniem i innymi aplikacjami jest natomiast wiele. Informacje o problemie zostały przekazane do Google trzy miesiące temu, Jeff Forristal z Bluebox Security ma zamiar zaprezentować lukę podczas konferencji BlackHat USA 2014, jaka będzie miała miejsce w przyszłym tygodniu w Las Vegas.

Problem ten jest o tyle poważny, że Google dało szerokie uprawnienia wielu znanym i zaufanym aplikacjom. To nic złego, o ile cały mechanizm działałby prawidłowo. Teraz tak nie jest, twórcy szkodliwego oprogramowania mogą więc w swoich aplikacjach, które „nie wymagają żadnych uprawnień” wysyłać fałszywe poświadczenia z tych zaufanych i przejmować ich rolę. Możliwe jest także tworzenie klonów zaufanych aplikacji i przejmowanie danych z tych oryginalnych, oraz innych elementów systemu: kontaktów, danych skonfigurowanych kont, danych przechowywane w chmurach jakie są skonfigurowane na urządzeniu, a także informacjach o płatnościach użytkownika.

Kolejnym problemem jest zintegrowany w Androidzie Adobe Flash. Google postanowiło jego obsługę zintegrować z samą przeglądarką systemową w komponencie webView, a zrezygnowało z tego rozwiązania dopiero w Androidzie 4.4 KitKat. Jeżeli sądzicie, że we wcześniejszych wersjach da się użyć Fake ID do przejęcia uprawnień Flasha, to trafiliście w dziesiątkę. Taki atak pozwala na ominięcie piaskownicy, w jakiej są zamknięte aplikacje, a następnie przejęcie kontroli nad innymi programami. Jako przykłady są przytaczane Salesforce, oraz klient usługi OneDrive, aby pokazać, jak duże jest to zagrożenie. Aplikacja może przechwytywać ruch sieciowy innych programów, przejmować zapisywane przez nie dane, a także korzystać z ich uprawnień. Innym przykładem jest NFC i aplikacja Google Wallet, która również może zostać wykorzystana w taki sposób. Na atak podatny jest również Fire OS od Amazonu, oraz różnego rodzaju modyfikacje, jak np. popularne chińskie MIUI.

Na atak narażeni są użytkownicy każdej wersji Androida, bo pomimo, że w KitKacie Flash został usunięty, nadal można podszyć się pod dowolną aplikację – można go wykorzystać nawet w testowych wydaniach Androida L. Sprawa to rzuca cień na cały system weryfikacji przez cyfrowe sygnatury zastosowany w Androidzie, tym bardziej, że aplikacje wykorzystujące tą podatność mogą znajdować się w sklepie Google Play. Sama jego idea jest dobra, niestety jak się okazuje, implementacja ze strony Google była nieprawidłowa. Konieczne stało się przeskanowanie całej bazy aplikacji, oraz znalezienie rozwiązania tego problemu. Nawet jeżeli zostanie znalezione, większość użytkowników najprawdopodobniej go nie otrzyma w związku z taką, a nie inną polityką aktualizacji oprogramowania przyjętą przez producentów sprzętu z Androidem.

Aktualizacja 2014-07-31, 13:40

Google zajęło się już tym problemem i przesłało do producentów łatki poprzez AOSP (Android Open Source Project). Teraz od nich zależy, czy urządzenia zyskają aktualizację, która zabezpieczy przed Fake ID. Przeskanowany został również cały sklep Google Play, nie zostały wykryte aplikacje korzystające z tej podatności. Zalecamy do korzystania tylko z oficjalnych kanałów dystrybucyjnych, oraz stron, które z nich korzystają (np. nasza baza aplikacji mobilnych). Instalowanie plików APK z zewnętrznych źródeł to narażanie się na infekcję systemu i koszty.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na