Video: Er du noen slave? (Oktober 2024)
Noe av det beste med mobile operativsystemer er sandboksing. Denne teknikken har inndelinger i applikasjoner, og forhindrer risikable apper (eller apper) fra å få frie tøyler over Android-en. Men en ny sårbarhet kan bety at Android's sandkasse ikke er så sterk som vi trodde.
Hva er det?
På Black Hat demonstrerte Jeff Forristal hvordan en feil i hvordan Android håndterer sertifikater kunne brukes for å unnslippe sandkassen. Den kan til og med brukes for å gi ondsinnede apper høyere privilegiumsnivåer, alt uten å gi ofrene en anelse om hva som skjer i telefonen deres. Forristal sa at dette sikkerhetsproblemet kan brukes til å stjele data, passord og til og med ta full kontroll over flere apper.
I kjernen av utstedelsen er sertifikater, som i utgangspunktet er lite kryptografiske dokumenter som er ment å sikre at en app er hva den påstår å være. Forristal forklarte at det er nøyaktig den samme teknologien som nettsteder bruker for å sikre ektheten. Men Android, viser det seg, undersøker ikke kryptografiske forhold mellom sertifikater. Denne feilen, sa Forristal, er "ganske grunnleggende for Android-sikkerhetssystemet."
Hva det gjør
I demonstrasjonen brukte Forristal en falsk Google Services-oppdatering som inneholdt ondsinnet kode ved å bruke et av Fake ID-sårbarhetene. Appen ble levert sammen med en sosial ingeniør-e-post der angriperen utgjør en del av offerets IT-avdeling. Når offeret skal installere appen, ser han at appen ikke krever tillatelser og fremstår som legitim. Android utfører installasjonen, og alt ser ut til å være i orden.
Men i bakgrunnen har Forristals app brukt en Fake ID-sårbarhet for automatisk og umiddelbart å injisere ondsinnet kode i andre apper på enheten. Spesielt et Adobe-sertifikat for oppdatering av Flash hvis informasjon var hardkodet til Android. I løpet av sekunder hadde han kontroll over fem apper på enheten - noen av dem hadde dyp tilgang til offerets enhet.
Dette er ikke første gang Forristal har rotet seg med Android. Tilbake i 2013 skremte Forristal Android-samfunnet da han avduket den såkalte Master Key-utnyttelsen. Denne omfattende sårbarheten betydde at falske apper kunne være forkledd som legitime, og potensielt gi ondsinnede apper et gratispass.
Sjekk ID
Forristals presentasjon ga oss ikke bare den nyskapende nyheten om Android, den ga oss også et verktøy for å beskytte våre sider. Forristal ga ut et gratis skanneverktøy for å oppdage dette sikkerhetsproblemet. Selvfølgelig betyr det fortsatt at folk må forhindre malware i å komme på telefonene sine.
Feilen har også blitt rapportert til Google, og patcher kommer tilsynelatende ut på forskjellige nivåer.
Enda viktigere er at hele angrepet henger sammen med offeret som installerer appen. Det er riktignok ikke det røde flagget som ber om mange tillatelser, men Forristal sa at hvis brukere unngår apper fra "skyggefulle steder" (les: utenfor Google Play), vil de være trygge. I hvert fall for nå.
