Video: Spinosaurus fishes for prey | Planet Dinosaur | BBC (September 2024)
En av de bästa sakerna med mobila operativsystem är sandlådor. Den här tekniken indelar applikationer och förhindrar riskfyllda appar (eller någon app) från att få fritt tyg över din Android. Men en ny sårbarhet kan betyda att Androids sandlåda inte är så stark som vi trodde.
Vad är det?
På Black Hat demonstrerade Jeff Forristal hur en brist i hur Android hanterar certifikat kan användas för att undkomma sandlådan. Det kan till och med användas för att ge skadliga appar högre behörighetsnivåer, allt utan att ge offer en ledtråd om vad som händer i deras telefon. Forristal sa att denna sårbarhet kan användas för att stjäla data, lösenord och till och med ta full kontroll över flera appar.
Kärnan i utfärdandet är certifikat, som i princip är små kryptografiska dokument som är avsedda att säkerställa att en app är vad den påstår sig vara. Forristal förklarade att det är exakt samma teknik som används av webbplatser för att säkerställa äktheten. Men Android, visar det sig, undersöker inte de kryptografiska förhållandena mellan certifikat. Denna brist, sade Forristal, är "ganska grundläggande för Android-säkerhetssystemet."
Vad den gör
I sin demonstration använde Forristal en falsk uppdatering av Google Services som innehöll skadlig kod med ett av Fake ID-sårbarheterna. Appen levererades tillsammans med en socialteknisk e-post där angriparen utgör en del av offrets IT-avdelning. När offret går att installera appen ser han att appen inte kräver några behörigheter och verkar vara legitim. Android genomför installationen och allt verkar vara bra.
Men i bakgrunden har Forristals app använt en Fake ID-sårbarhet för att automatiskt och omedelbart injicera skadlig kod i andra appar på enheten. Specifikt ett Adobe-certifikat för uppdatering av Flash vars information kodades in i Android. Inom några sekunder hade han kontroll över fem appar på enheten - av vilka några hade djup tillgång till offrets enhet.
Detta är inte första gången Forristal har kommit över med Android. Tillbaka 2013 skrämde Forristal Android-gemenskapen när han avslöjade den så kallade Master Key-exploiten. Denna omfattande sårbarhet innebar att falska appar kunde förklädas som legitima, vilket möjligen kan ge skadliga appar ett gratispass.
Kontrollera ID
Forristals præsentation gav oss inte bara nyheterna om Android, det gav oss också ett verktyg för att skydda våra svårigheter. Forristal släppte ett gratis skanningsverktyg för att upptäcka denna sårbarhet. Naturligtvis innebär det fortfarande att människor måste förhindra skadlig kod från att komma på sina telefoner.
Buggen har också rapporterats till Google, och korrigeringar kommer tydligen ut på olika nivåer.
Ännu viktigare är att hela attacken är beroende av offret som installerar appen. Det är sant att den inte har den röda flaggan för att be om massor av behörigheter, men Forristal sa att om användare undviker appar från "skumma platser" (läs: utanför Google Play) kommer de att vara säkra. Åtminstone för stunden.
