Video: Footloose "Fake I.D." Music Video Official [HD] - Big & Rich ft. Gretchen Wilson (Listopad 2024)
Jednou z nejlepších věcí na mobilních operačních systémech je sandboxing. Tato technika rozděluje aplikace, čímž zabraňuje rizikovým aplikacím (nebo jakékoli aplikaci), aby se ve vašem Androidu mohly volně otáčet. Nová chyba zabezpečení však může znamenat, že karanténa systému Android není tak silná, jak jsme si mysleli.
Co je to?
V Black Hat, Jeff Forristal demonstroval, jak chybu v tom, jak Android zpracovává certifikáty, lze použít k úniku z karantény. Mohlo by být dokonce použito, aby škodlivým aplikacím poskytlo vyšší úroveň oprávnění, a to bez toho, aby obětem bylo jasné, co se děje v telefonu. Společnost Forristal uvedla, že tuto chybu zabezpečení lze použít k odcizení dat, hesel a dokonce k plné kontrole nad několika aplikacemi.
Jádrem vydání jsou certifikáty, což jsou v podstatě malé kryptografické dokumenty, které mají zajistit, aby aplikace byla tím, čím je. Forristal vysvětlil, že je to stejná technologie, jakou používají webové stránky k zajištění autentičnosti. Ukázalo se však, že Android neshledává kryptografické vztahy mezi certifikáty. Tato chyba, řekl Forristal, je „docela zásadní pro bezpečnostní systém Android.“
Co to dělá
Ve své demonstraci použil Forristal falešnou aktualizaci služeb Google, která obsahovala škodlivý kód pomocí jedné z chyb zabezpečení typu Fake ID. Aplikace byla doručena spolu s e-mailem v oblasti sociálního inženýrství, kde útočník představuje část IT oddělení oběti. Když se oběť chystá nainstalovat aplikaci, vidí, že aplikace nevyžaduje žádná oprávnění a zdá se legitimní. Android provede instalaci a vše se zdá být v pořádku.
Ale na pozadí aplikace Forristal použila zranitelnost Fake ID pro automatické a okamžité vložení škodlivého kódu do jiných aplikací na zařízení. Konkrétně certifikát Adobe pro aktualizaci Flash, jehož informace byly pevně zakódovány do systému Android. Během několika sekund měl v zařízení kontrolu nad pěti aplikacemi - z nichž některé měly hluboký přístup k zařízení oběti.
Tohle není poprvé, co si Forristal pohrával s Androidem. V roce 2013 Forristal vyděsil komunitu Android, když odhalil zneužití tzv. Master Key. Tato rozšířená zranitelnost znamenala, že falešné aplikace by mohly být maskovány jako legitimní, což by potenciálním aplikacím umožňovalo volný vstup.
Zkontrolujte ID
Forristalova mateřství nám nepřinesla pouze novinky o Androidu, ale také nám poskytla nástroj na ochranu našich členů. Společnost Forristal vydala bezplatný skenovací nástroj k detekci této chyby zabezpečení. To samozřejmě znamená, že lidé budou muset zabránit malwaru v jejich telefonech.
Chyba byla také nahlášena společnosti Google a záplaty zjevně vycházejí na různých úrovních.
Ještě důležitější je, že celý útok závisí na oběti, která aplikaci instaluje. Je pravda, že nemá červenou vlajku vyžadující mnoho povolení, ale Forristal řekl, že pokud se uživatelé vyhnou aplikacím z „stinných míst“ (čtení: mimo Google Play), budou v bezpečí. Prozatím.
