Video: Simple Spyware: Androids Invisible Foreground Services and How to (Ab)use Them (Oktober 2024)
Tidlige rapporter om Android Master Key-feilen som ble oppdaget av forskere ved Bluebox, hevdet at så høyt som 99 prosent av alle Android-enheter kan være sårbare. Senere rapporter ble sporet vesentlig tilbake, og bemerket at bare brukere som har slått av funksjonen som forhindrer installering av apper fra ikke-tillitne kilder, muligens kan bli berørt. Ingen gjør det, ikke sant? I presentasjonen Black Hat forklarte Blueboks Jeff Forristal at det ikke er så enkelt.
Forristalls presentasjon innebar å forklare Master Key-sårbarheten i detalj. Han rapporterte også om flere andre relaterte feil som kan tillate endring av apper uten å påvirke Android-bekreftelsesprosessen. De fleste av disse involverte forskjeller mellom forskjellige ZIP-filparesemoduler i Android.
Vanlig visdom?
På slutten av presentasjonen adresserte Forristall påstanden om at nesten alle brukere er beskyttet av innstillingen som forbyr å installere apper fra ikke-tillitne kilder. "'Alle vet' at ingen brukere endrer innstillingen 'tillat ikke-tillit til kilder', " sa Forristall. "Egentlig? Hvor kom disse dataene fra?" Disse rapportene siterer ikke en kilde.
Bluebox Security Scanner rapporterer helt anonyme telemetri-data tilbake til Bluebox hver gang noen kjører. Et av elementene som er inkludert i telemetrien er om enheten er satt til å tillate apper fra ikke-tillitne kilder.
Forristall utfordret publikum til å gjette hvor mange brukere som slått av beskyttelsen mot ikke-tillitne kilder, i trinn på 25 prosent. Jeg gjettet fra 50 til 75 prosent, og jeg scoret. "Hvor mange brukere tillater ikke betrodde kilder?" spurte Forristall. "69 prosent av folket snudde bryteren!"
Han bemerket at utvalget bare var en kvart million brukere. "Jeg føler at 69 prosent tallet er høyt, " sa Forristall, "sannsynligvis på grunn av prøvetakingspopulasjonen. Jeg vil gjerne se dette på 10 eller 100 millioner. Selv om det var nærmere 20 prosent, er det fremdeles stort, langt større enn de "ekspertene" tror."
Hvorfor så høyt?
"Det er mange grunner til å motivere brukere til å deaktivere denne beskyttelsen, " bemerket Forristall. "Det er ikke bare for piratkopierte applikasjoner. Amazon Appstore, for eksempel, de gjør mye arbeid for å sikre at den er skadelig for skadelig programvare, men hvis du legger den på den ikke-Amazon-enheten din, er trinn én for installasjon å tillate apper fra andre kilder enn Google Play. Foretak trenger å sette av for BYOD- og MDM-løsningene, og distribuere interne apper."
"Det er en rekke overbevisende grunner til å endre den innstillingen, " konkluderte Forristall, "og når de først har endret den, vil den ikke bli satt tilbake." Det er selvfølgelig det samme argumentet som noen eksperter brukte for å forutsi at ingen brukere ville gjort endringen i utgangspunktet - det er bare for mye arbeid.
Denne innstillingen er teoretisk uten betydning hvis du aldri går noen steder for apper, men Google Play, men hvorfor ta sjanser? Hvis jeg var en Android-bruker, ville jeg absolutt aktivert forbudet mot ikke-tillitne appkilder.
