Video: ASPI Presents: UN Cyber Negotiations - What they mean for Australian diplomacy (Oktober 2024)
En af de bedste ting ved mobile operativsystemer er sandboxing. Denne teknik opdeler applikationer og forhindrer risikable apps (eller en hvilken som helst app) i at få frie tøj over din Android. Men en ny sårbarhed kan muligvis betyde, at Android's sandkasse ikke er så stærk, som vi troede.
Hvad er det?
På Black Hat demonstrerede Jeff Forristal, hvordan en fejl i, hvordan Android håndterer certifikater, kunne bruges til at undslippe sandkassen. Det kunne endda bruges til at give ondsindede apps højere privilegieniveauer, alt uden at give ofrene en anelse om, hvad der foregår i deres telefon. Forristal sagde, at denne sårbarhed kunne bruges til at stjæle data, adgangskoder og endda tage fuld kontrol over flere apps.
I kernen af udstedelsen er certifikater, der stort set er små kryptografiske dokumenter, der skal sikre, at en app er, hvad den hævder at være. Forristal forklarede, at det er nøjagtigt den samme teknologi, som websteder bruger til at sikre ægthed. Men Android, det viser sig, undersøger ikke de kryptografiske forhold mellem certifikater. Denne fejl, sagde Forristal, er "temmelig grundlæggende for Android-sikkerhedssystemet."
Hvad det gør
I sin demonstration brugte Forristal en falsk Google Services-opdatering, der indeholdt ondsindet kode ved hjælp af en af Fake ID-sårbarhederne. Appen blev leveret sammen med en socialteknisk e-mail, hvor angriberen udgør en del af offerets IT-afdeling. Når offeret går for at installere appen, ser han, at appen ikke kræver nogen tilladelser og forekommer legitim. Android udfører installationen, og alt ser ud til at være i orden.
Men i baggrunden har Forristals app brugt en Fake ID-sårbarhed til automatisk og straks at injicere ondsindet kode i andre apps på enheden. Specielt et Adobe-certifikat til opdatering af Flash, hvis information blev hardkodet til Android. Inden for få sekunder havde han kontrol over fem apps på enheden - hvoraf nogle havde dyb adgang til offerets enhed.
Dette er ikke første gang Forristal har rodet rundt med Android. Tilbage i 2013 forbløffet Forristal Android-samfundet, da han afslørede den såkaldte Master Key-udnyttelse. Denne udbredte sårbarhed betød, at falske apps kunne være forklædt som legitime, hvilket potentielt kan give ondsindede apps et frikort.
Kontroller ID
Forristals præsentation gav os ikke bare den åbenlyse nyhed om Android, den gav os også et værktøj til at beskytte vores sæler. Forristal frigav et gratis scanningsværktøj til at opdage denne sårbarhed. Selvfølgelig betyder det stadig, at folk bliver nødt til at forhindre malware i at komme på deres telefoner.
Fejlen er også rapporteret til Google, og patches kommer tilsyneladende ud på forskellige niveauer.
Mere vigtigt er, at hele angrebet hænger sammen med offeret, der installerer appen. Det er sandt, at det ikke har det røde flag at bede om masser af tilladelser, men Forristal sagde, at hvis brugerne undgår apps fra "skyggefulde steder" (læs: uden for Google Play), vil de være sikre. I det mindste for nu.
