"Fake ID"-sikkerhedshul i Android

Illustration: Android Logo
Efterforskere har fundet et sikkerhedshul i Android, som har været der længe. Hullet gør, at Android er sårbart overfor falske sikkerhedscertifikater.

Størstedelen af de enheder, der kører Googles Android operativsystem er sårbare overfor hacks, der giver onskabsfulde applikationer adgang til at stjæle brugeroplysninger, læse emails og få adgang til betalingshistokriker og andre sensitive data. Det advarer efterforskere om ifølge Ars Technica.

Svagheden i Android har eksisteret siden Google udsendte version 2.1 i begyndelsen af 2010, fortæller efterforskerne fra Bluebox Security.

De har døbt sikkerhedshullet "Fake ID" fordi det giver adgang til Android-ressourcer, som typisk er begrænset område forbeholdt programmer med specielle certifikater; de sammenligner det med barer, hvor mindreårige får adgang ved at vise et falsk ID.

Små ændringer i Android 4.4

Google-udviklerne har introduceret ændringer, som begrænser noget af skaden, som de ondsindede apps kan gøre i Android 4.4, men den underliggende bug er stadig uberørt, også i Android L preview.

"Fake ID"-sårbarheden skyldes af Android ikke får verificeret ægtheden af de kryptografiske certifikater, som kommer med hver enkelt app, som bliver installeret på en enhed. Styresystemet sætter sin lid til legitimationsoplysningerne, når det gives særlige privilegier, som giver apps adgang til at omgå Android Sandboxing - det program, som kontrollerer de installerede apps.

Under normale omstændigheder, vil Sandbox forhindre programmer i at få adgang til data, som tilhører andre apps og følsomme dele af styresystemet. Udvalgte apps derimod, får lov til at bryde ud af Sandbox. Adobe Flash i alle versioner, undtagen 4.4, for eksempel, får lov til at agere plugin, for alle andre apps, som bliver installeret på telefonen, formentligt for at give lov til at give animation- og grafiksupport.

Google kender problemet

Ligeledes har Google Wallet adgang til Near Field Communication hardware, som arbejder med betalingsinformationer.

Ifølge Jeff Forristal, Chief technology officer hos Bluebox Security, fejler Android i at verificere kæden af certifikater, som bliver brugt til at certificere, hvorvidt en app tilhører en eliteklasse af superpriviligerede programmer. Som et resultat kan en app udviklet med onde hensigter inkludere et validt certifikat, som siger at det er Flash, Wallet eller et hvilket som helst andet program, som er kodet ind i Android. Styresystemet vil dermed give app'en de samme specielle privilegier, som bliver givet til de legitime apps, uden nogensinde at tage sig tiden til at tage sig tiden til at undersøge, om certifikatet er forfalsket.

Google skriver i en meddelelse, at de nu har set problemet, og at de har lavet en patch, som skal afhjælpe det. Efterforskerne hos Bluefox har dog fortsat endnu ikke set nogen ændringer træde i kraft, skriver Ars Technica.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Grouleff

For, som de selv skriver:

"At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability."

Det er jo en exploit, der vil være synlig for Google Play serveren, så den kan fra nu af kun bruges til at ramme brugere, der selv installerer fra andre kilder.

Normale apps på Google play signeres med et selfsigned cert som beskrevet på https://developer.android.com/tools/publishing/app-signing.html før upload. Så det må være ret let at gøre nogen opmærksomme på det, når der ankommer en upload, der bruger et af de exploitable certs.

  • 1
  • 0
Casper Olsen

I april i år udsendte Google en sikkerhedsrettelse, der lukker hullet. Der går som regel lang tid, fra Google udsender en rettelse, til de forskellige producenter af Android-baserede smartphones opdaterer softwaren i deres telefoner.

DKCERT

Nu det ved at være længe siden jeg har haft en android telefon i hånden, men den eneste jeg har haft var en HTC og den modtog aldrig nye android versioner, netop fordi det producenterne som skal opdatere telefonerne, fordi de har mulighed for at bygge om på systemet.

  • 1
  • 0
Morten Grouleff

Nu kunne lige netop denne fejl jo patches i Google Play serveren. Så den løsning venter ikke på nogen andre.

Men generelt er det rigtigt. Der går rigtig lang tid før HTC og andre ruller opdateringer ud. Det bliver slemt den dag nogen finder en alvorlig fejl i en komponent, der ikke opdateres gennem Google Play. Googles "løsning" på det er at flyttere mere og mere af platformen over i "google services", der alle kan opdateres gennem play, og mindre ud i selve OS.

  • 0
  • 0
Anders Metnik

Også derfor at google har lavet krav til at alle telefoner som producenterne producere nu om dage, hvis de vil have google services, så skal de sørge for at understøtte dem.

Om det er trådt i kraft er jeg ikke up-2-date på. Men det var ihvertfald en udtalelse de kom med for 6-12måneder siden.

  • 0
  • 0
Uffe Seerup

Nu kunne lige netop denne fejl jo patches i Google Play serveren. Så den løsning venter ikke på nogen andre.

Nej den kunne ikke. Den er ikke "patchet". Google har suppleret deres automatiserede scanning af apps med mønstre som - hvis de matcher - kunne indikere at app'en forsøger at udnytte sårbarheden. De har så gen-scannet alle apps i Play - og ikke fundet nogen der "trigger" på disse mønstre.

Det er ikke hvad man kalder en patch.

Google har lavet en patch. Men den skal distribueres af telefonleverandører. Mange leverandører vil være lang tid om at gennemføre patchen - og en del leverandører vil aldrig gennemføre patchen. De mener at kunderne bør købe en ny telefon i stedet.

Denne sårbarhed eksisterer derfor stadig på langt de fleste Android telefoner - og det vil være sådan i langt tid fremover.

Google kan så forsøge at scanne apps i deres egen Play store. Men en determineret angriber kunne godt obfuskere sin kode på en måde så scannerne ikke fanger den.

Angriberen kan også sætte sårbargeden "på venteliste" - til når de finder en anden sårbarhed i fx. en udbredt app. En remote code execution sårbarhed i fx. snapchat kunne så kombineres med denne til at give angriberen fulde og uindskrænkede rettigheder på din telefon.

Det kan godt være at sårbarheden ikke er udnyttet lige nu. Men det er ingen garanti for at den ikke bliver udnyttet i fremtiden. Indtil nu var der ingen andre end "the good guys" som kendte til den.

  • 1
  • 0
Lars Tørnes Hansen

Efterforskerne hos Bluefox har dog fortsat endnu ikke set nogen ændringer træde i kraft, skriver Ars Technica.

Jeg har en Motorola Moto G som åbenbart nyder samme gode service med hensyn til opdateringer som de meget dyrere Nexus.

For få dage siden var der en meget insisterende opdatering til Android 4.4.4 og det kan være den begrænser den i artiklen omtalte bug, selv om der ikke rigtig står noget om det her: https://motorola-global-portal.custhelp.com/app/answers/detail/a_id/100660

Vigtigt er det dog at OpenSSL blev patchet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere