"ID falso" e sicurezza Android [aggiornato]

Oggi la società di ricerca sulla sicurezza BlueBox, la stessa società che ha scoperto la cosiddetta vulnerabilità di Android "Master Key", ha annunciato la scoperta di un bug nel modo in cui Android gestisce i certificati di identità utilizzati per firmare le applicazioni. La vulnerabilità, che BlueBox ha soprannominato "ID falso", consente alle app dannose di associarsi ai certificati di app legittime, ottenendo così l'accesso a cose a cui non dovrebbero avere accesso.

Le vulnerabilità della sicurezza sembrano spaventose, e oggi abbiamo già visto uno o due titoli iperbolici mentre questa storia si è interrotta. Tuttavia, qualsiasi bug che consente alle app di fare cose che non dovrebbero è un problema serio. Quindi riassumiamo cosa sta succedendo in breve, cosa significa per la sicurezza di Android e se vale la pena preoccuparsi …

Aggiornamento: abbiamo aggiornato questo articolo per riflettere la conferma da parte di Google che sia il Play Store che la funzione "verifica app" sono stati effettivamente aggiornati per risolvere il bug dell'ID falso. Ciò significa che la stragrande maggioranza dei dispositivi Google Android attivi ha già una certa protezione da questo problema, come discusso più avanti nell'articolo. La dichiarazione completa di Google è disponibile alla fine di questo post.

Il problema: certificati Dodgy

"Fake ID" deriva da un bug nel programma di installazione del pacchetto Android.

Secondo BlueBox, la vulnerabilità deriva da un problema nel programma di installazione dei pacchetti Android, la parte del sistema operativo che gestisce l'installazione delle app. Apparentemente il programma di installazione del pacchetto non verifica correttamente l'autenticità delle "catene" di certificati digitali, consentendo a un certificato dannoso di dichiarare che è stato emesso da una parte attendibile. Questo è un problema perché alcune firme digitali forniscono alle app un accesso privilegiato ad alcune funzioni del dispositivo. Con Android 2.2-4.3, ad esempio, alle app con la firma di Adobe viene concesso un accesso speciale al contenuto della visualizzazione Web, un requisito per il supporto di Adobe Flash che, se utilizzato in modo improprio, potrebbe causare problemi. Allo stesso modo, lo spoofing della firma di un'app con accesso privilegiato all'hardware utilizzato per pagamenti sicuri su NFC potrebbe consentire a un'app dannosa di intercettare informazioni finanziarie riservate.

Ancora più preoccupante, un certificato dannoso potrebbe anche essere utilizzato per impersonare alcuni software di gestione dei dispositivi remoti, come 3LM, che viene utilizzato da alcuni produttori e garantisce un ampio controllo su un dispositivo.

Come scrive Jeff Foristall, ricercatore di BlueBox:

"Le firme delle applicazioni svolgono un ruolo importante nel modello di sicurezza di Android. La firma di un'applicazione stabilisce chi può aggiornare l'applicazione, quali applicazioni possono condividere i suoi dati, ecc. Alcune autorizzazioni, utilizzate per bloccare l'accesso alla funzionalità, sono utilizzabili solo dalle applicazioni che hanno il stessa firma dell'autore del permesso. Più interessante, in alcuni casi firme molto specifiche hanno privilegi speciali."

Mentre il problema Adobe / webview non influisce su Android 4.4 (poiché la webview è ora basata su Chromium, che non ha gli stessi hook di Adobe), il bug di installazione del pacchetto sottostante sembra continuare a influenzare alcune versioni di KitKat. In una dichiarazione rilasciata ad Android Central Google ha dichiarato: "Dopo aver ricevuto la notizia di questa vulnerabilità, abbiamo rapidamente rilasciato una patch che è stata distribuita ai partner Android, nonché al progetto Open Source Android".

Google afferma che non ci sono prove che "ID falso" venga sfruttato in natura.

Dato che BlueBox afferma di aver informato Google ad aprile, è probabile che qualsiasi correzione sia stata inclusa in Android 4.4.3 e forse alcune patch di sicurezza basate su 4.4.2 dagli OEM. (Vedi questo commit del codice - grazie Anant Shrivastava.) I test iniziali con l'app di BlueBox mostrano che l'LG G3, il Samsung Galaxy S5 e l'HTC One M8 europei non sono interessati dall'ID falso. Abbiamo contattato i principali OEM Android per scoprire quali altri dispositivi sono stati aggiornati.

Per quanto riguarda i dettagli del falso ID falso, Forristal afferma che rivelerà di più sulla Black Hat Conference di Las Vegas il 2 agosto. Nella sua dichiarazione, Google ha dichiarato di aver scansionato tutte le app nel suo Play Store e alcune hanno ospitato in altri app store e non ha trovato prove che l'exploit fosse utilizzato nel mondo reale.

La soluzione - Correzione di bug Android con Google Play

Attraverso Play Services, Google è in grado di neutralizzare efficacemente questo bug nella maggior parte dell'ecosistema Android attivo.

L'ID falso è una grave vulnerabilità della sicurezza che, se correttamente mirata, potrebbe consentire a un utente malintenzionato di causare gravi danni. E poiché il bug sottostante è stato risolto solo di recente in AOSP, potrebbe sembrare che la stragrande maggioranza dei telefoni Android sia aperta agli attacchi e rimarrà tale per il prossimo futuro. Come abbiamo discusso in precedenza, il compito di aggiornare il miliardo di telefoni Android così attivi è una sfida enorme e la "frammentazione" è un problema integrato nel DNA di Android. Ma Google ha una carta vincente da giocare quando si affrontano problemi di sicurezza come questo: Google Play Services.

Proprio come Play Services aggiunge nuove funzionalità e API senza richiedere un aggiornamento del firmware, può anche essere utilizzato per collegare falle di sicurezza. Qualche tempo fa Google ha aggiunto una funzione di "verifica app" a Google Play Services come un modo per scansionare qualsiasi app alla ricerca di contenuti dannosi prima che vengano installati. Inoltre, è attivato per impostazione predefinita. In Android 4.2 e versioni successive vive in Impostazioni> Sicurezza; nelle versioni precedenti lo troverai in Impostazioni Google> Verifica app. Come ha detto Sundar Pichai a Google I / O 2014, il 93 percento degli utenti attivi utilizza l'ultima versione dei servizi di Google Play. Anche il nostro antico LG Optimus Vu, con Android 4.0.4 Ice Cream Sandwich, ha l'opzione "verifica app" di Play Services per difendersi dal malware.

Google ha confermato ad Android Central che la funzione "verifica app" e Google Play sono state aggiornate per proteggere gli utenti da questo problema. In effetti, i bug di sicurezza a livello di app come questo sono esattamente ciò con cui la funzione "verifica app" è progettata per gestire. Ciò limita in modo significativo l'impatto dell'ID falso su qualsiasi dispositivo che esegue una versione aggiornata di Google Play Services - lungi dall'essere vulnerabile a tutti i dispositivi Android, l'azione di Google di indirizzare l'ID falso tramite Play Services lo ha efficacemente sterilizzato prima che il problema diventasse pubblico conoscenza.

Scopriremo di più quando le informazioni sul bug saranno disponibili su Black Hat. Ma dal momento che il verificatore di app di Google e il Play Store possono catturare app utilizzando l'ID falso, l'affermazione di BlueBox secondo cui "tutti gli utenti Android da gennaio 2010" sono a rischio sembra esagerata. (Anche se è vero, gli utenti che utilizzano un dispositivo con una versione di Android non approvata da Google vengono lasciati in una situazione più difficile.)

Lasciare che Play Services agisca come gatekeeper è una soluzione di stopgap, ma è piuttosto efficace.

Indipendentemente da ciò, il fatto che Google sia a conoscenza dell'ID falso da aprile rende altamente improbabile che qualsiasi app che utilizzi l'exploit arriverà sul Play Store in futuro. Come la maggior parte dei problemi di sicurezza di Android, il modo più semplice ed efficace per gestire l'ID falso è di essere intelligente su da dove prendi le tue app.

Sicuramente, impedire che una vulnerabilità venga sfruttata non equivale a eliminarla del tutto. In un mondo ideale, Google sarebbe in grado di inviare un aggiornamento via etere a tutti i dispositivi Android ed eliminare il problema per sempre, proprio come Apple. Consentire a Play Services e Play Store di fungere da gatekeeper è una soluzione stopgap, ma date le dimensioni e la natura tentacolare dell'ecosistema Android, è piuttosto efficace.

Non è giusto che molti produttori impieghino ancora troppo tempo per inviare importanti aggiornamenti di sicurezza ai dispositivi, in particolare quelli meno conosciuti, poiché problemi come questo tendono ad evidenziare. Ma è molto meglio di niente.

È importante essere consapevoli dei problemi di sicurezza, specialmente se sei un utente Android esperto di tecnologia: il tipo di persona a cui le persone normali si rivolgono per chiedere aiuto quando qualcosa va storto con il loro telefono. Ma è anche una buona idea tenere le cose in prospettiva e ricordare che non è importante solo la vulnerabilità, ma anche il possibile vettore di attacco. Nel caso dell'ecosistema controllato da Google, Play Store e Play Services sono due potenti strumenti con cui Google può gestire il malware.

Quindi stai al sicuro e sii intelligente. Ti terremo informato con ulteriori informazioni sull'ID falso dai principali OEM Android.

Aggiornamento: un portavoce di Google ha fornito ad Android Central la seguente dichiarazione:

"Apprezziamo Bluebox che ci segnala in modo responsabile questa vulnerabilità; la ricerca di terze parti è uno dei modi in cui Android è reso più forte per gli utenti. Dopo aver ricevuto la notizia di questa vulnerabilità, abbiamo rapidamente rilasciato una patch che è stata distribuita ai partner Android e ad AOSP Anche Google Play e le app di verifica sono state migliorate per proteggere gli utenti da questo problema. Al momento, abbiamo scansionato tutte le applicazioni inviate a Google Play e quelle che Google ha esaminato al di fuori di Google Play e non abbiamo riscontrato prove di tentativi sfruttamento di questa vulnerabilità ".

Sony ci ha anche detto che sta lavorando per inviare la correzione dell'ID falso ai suoi dispositivi.