"Gefälschte ID" und Android-Sicherheit [aktualisiert]

Heute hat das Sicherheitsforschungsunternehmen BlueBox - dasselbe Unternehmen, das die sogenannte Android-Sicherheitslücke "Master Key" aufgedeckt hat - die Entdeckung eines Fehlers in der Art und Weise angekündigt, in der Android mit Identitätszertifikaten umgeht, die zum Signieren von Anwendungen verwendet werden. Die Sicherheitsanfälligkeit, die von BlueBox als "Fake ID" bezeichnet wird, ermöglicht es böswilligen Apps, sich mit Zertifikaten legitimer Apps zu verknüpfen und so Zugriff auf Dinge zu erhalten, auf die sie keinen Zugriff haben sollten.

Sicherheitslücken wie diese klingen beängstigend, und wir haben heute bereits ein oder zwei hyperbolische Schlagzeilen gesehen, als diese Geschichte durchgebrochen ist. Dennoch ist jeder Fehler, der Apps dazu bringt, Dinge zu tun, die sie nicht tun sollen, ein ernstes Problem. Fassen wir also zusammen, was auf den Punkt gebracht wird, was dies für die Android-Sicherheit bedeutet und ob es sich lohnt, sich Sorgen zu machen …

Update: Wir haben diesen Artikel aktualisiert, um die Bestätigung von Google widerzuspiegeln, dass sowohl der Play Store als auch die Funktion zum Überprüfen von Apps aktualisiert wurden, um den Fehler mit der gefälschten ID zu beheben. Dies bedeutet, dass die überwiegende Mehrheit der aktiven Google Android-Geräte bereits vor diesem Problem geschützt ist, wie weiter unten in diesem Artikel erläutert wird. Die vollständige Erklärung von Google finden Sie am Ende dieses Beitrags.

Das Problem - zwielichtige Zertifikate

"Gefälschte ID" stammt von einem Fehler im Android-Paketinstallationsprogramm.

Laut BlueBox rührt die Sicherheitsanfälligkeit von einem Problem im Android-Paketinstallationsprogramm her, dem Teil des Betriebssystems, der die Installation von Apps verwaltet. Das Paketinstallationsprogramm überprüft die Authentizität digitaler Zertifikatsketten anscheinend nicht ordnungsgemäß, sodass ein böswilliges Zertifikat behaupten kann, dass es von einer vertrauenswürdigen Partei ausgestellt wurde. Dies ist ein Problem, da bestimmte digitale Signaturen Apps den privilegierten Zugriff auf einige Gerätefunktionen ermöglichen. Mit Android 2.2-4.3 erhalten beispielsweise Apps, die die Signatur von Adobe tragen, einen speziellen Zugriff auf Webview-Inhalte - eine Voraussetzung für die Unterstützung von Adobe Flash, die bei Missbrauch zu Problemen führen kann. Ebenso kann das Fälschen der Signatur einer App, die über privilegierten Zugriff auf die für sichere Zahlungen über NFC verwendete Hardware verfügt, dazu führen, dass eine böswillige App vertrauliche Finanzinformationen abfängt.

Noch besorgniserregender ist, dass ein böswilliges Zertifikat auch verwendet werden kann, um sich als bestimmte Remote-Geräteverwaltungssoftware auszugeben, z. B. 3LM, die von einigen Herstellern verwendet wird und umfassende Kontrolle über ein Gerät gewährt.

Als BlueBox-Forscher schreibt Jeff Foristall:

"Anwendungssignaturen spielen eine wichtige Rolle im Android-Sicherheitsmodell. Durch die Signatur einer Anwendung wird festgelegt, wer die Anwendung aktualisieren kann, welche Anwendungen die Daten freigeben können usw. Bestimmte Berechtigungen, die für den Zugriff auf Funktionen verwendet werden, können nur von Anwendungen verwendet werden, die über die Berechtigung verfügen gleiche Signatur wie der Ersteller der Erlaubnis. Interessanterweise erhalten sehr spezielle Signaturen in bestimmten Fällen besondere Privilegien."

Während das Adobe / Webview-Problem Android 4.4 nicht betrifft (da das Webview jetzt auf Chromium basiert, das nicht über dieselben Adobe-Hooks verfügt), wirkt sich der zugrunde liegende Paketinstallationsfehler anscheinend weiterhin auf einige Versionen von KitKat aus. In einer Erklärung an Android Central sagte Google: "Nachdem wir von dieser Sicherheitsanfälligkeit erfahren hatten, haben wir schnell einen Patch veröffentlicht, der sowohl an Android-Partner als auch an das Android Open Source-Projekt verteilt wurde."

Laut Google gibt es keine Beweise dafür, dass "gefälschte ID" in freier Wildbahn ausgenutzt wird.

Angesichts der Tatsache, dass BlueBox Google im April darüber informiert hat, ist es wahrscheinlich, dass eine Korrektur in Android 4.4.3 und möglicherweise in 4.4.2-basierten Sicherheitspatches von OEMs enthalten ist. (Siehe diesen Code festschreiben - danke an Anant Shrivastava.) Erste Tests mit der BlueBox-eigenen App haben ergeben, dass das europäische LG G3, Samsung Galaxy S5 und HTC One M8 nicht von Fake ID betroffen sind. Wir haben uns an die wichtigsten Android-OEMs gewandt, um herauszufinden, welche anderen Geräte aktualisiert wurden.

In Bezug auf die Besonderheiten des Fake ID Vuln wird Forristal am 2. August auf der Black Hat Conference in Las Vegas mehr darüber verraten. In seiner Erklärung gab Google an, alle Apps in seinem Play Store gescannt und einige gehostet zu haben in anderen App-Stores und fand keine Hinweise darauf, dass der Exploit in der realen Welt verwendet wurde.

Die Lösung - Beheben von Android-Fehlern mit Google Play

Mithilfe von Play Services kann Google diesen Fehler im größten Teil des aktiven Android-Ökosystems effektiv neutralisieren.

Eine gefälschte ID ist eine schwerwiegende Sicherheitsanfälligkeit, die einem Angreifer bei richtiger Ausrichtung schweren Schaden zufügen kann. Und da der zugrunde liegende Fehler erst kürzlich in AOSP behoben wurde, scheint es, dass die große Mehrheit der Android-Telefone angreifbar ist und dies auf absehbare Zeit auch bleiben wird. Wie wir bereits besprochen haben, ist die Aufgabe, die rund eine Milliarde aktiven Android-Telefone auf den neuesten Stand zu bringen, eine enorme Herausforderung, und "Fragmentierung" ist ein Problem, das in die DNA von Android eingebaut ist. Bei solchen Sicherheitsproblemen hat Google jedoch einen Trumpf zu spielen: Google Play Services.

So wie Play Services neue Funktionen und APIs hinzufügt, ohne dass ein Firmware-Update erforderlich ist, können auch Sicherheitslücken geschlossen werden. Vor einiger Zeit hat Google Google Play Services eine Funktion zum Überprüfen von Apps hinzugefügt, mit der Apps vor der Installation auf schädliche Inhalte überprüft werden können. Außerdem ist es standardmäßig aktiviert. In Android 4.2 und höher befindet es sich unter Einstellungen> Sicherheit. In älteren Versionen finden Sie es unter Google-Einstellungen> Apps überprüfen. Wie Sundar Pichai auf der Google I / O 2014 sagte, nutzen 93 Prozent der aktiven Nutzer die neueste Version der Google Play-Dienste. Sogar unser altes LG Optimus Vu mit Android 4.0.4 Ice Cream Sandwich verfügt über die Option "apps überprüfen" von Play Services, um Schutz vor Malware zu bieten.

Google hat Android Central bestätigt, dass die Funktion "Apps überprüfen" und Google Play aktualisiert wurden, um Benutzer vor diesem Problem zu schützen. In der Tat sind solche Sicherheitslücken auf App-Ebene genau das, wofür die Funktion "Apps überprüfen" entwickelt wurde. Dadurch wird die Auswirkung von Fake ID auf alle Geräte, auf denen eine aktuelle Version von Google Play Services ausgeführt wird, erheblich eingeschränkt. Bei weitem nicht alle Android-Geräte sind anfällig, da die Maßnahmen von Google zur Behebung von Fake ID über Play Services das Problem effektiv neutralisierten, bevor es überhaupt öffentlich wurde Wissen.

Wir werden mehr darüber erfahren, wenn Informationen über den Fehler bei Black Hat erhältlich sind. Da der App Verifier und der Play Store von Google mithilfe von Fake ID Apps abfangen können, ist die Behauptung von BlueBox, dass "alle Android-Nutzer seit Januar 2010" gefährdet sind, übertrieben. (Zugegeben, Benutzer, die ein Gerät mit einer nicht von Google genehmigten Android-Version verwenden, befinden sich in einer schwierigeren Situation.)

Play Services als Gatekeeper fungieren zu lassen, ist eine Notlösung, aber ziemlich effektiv.

Ungeachtet der Tatsache, dass Google seit April über Fake ID informiert ist, ist es sehr unwahrscheinlich, dass Apps, die den Exploit verwenden, in Zukunft in den Play Store gelangen. Wie bei den meisten Android-Sicherheitsproblemen ist es die einfachste und effektivste Möglichkeit, mit gefälschter ID umzugehen, wenn Sie genau wissen, woher Sie Ihre Apps beziehen.

Wenn Sie verhindern, dass eine Sicherheitsanfälligkeit ausgenutzt wird, müssen Sie sie auf jeden Fall entfernen. In einer idealen Welt wäre Google in der Lage, ein drahtloses Update auf jedes Android-Gerät zu übertragen und das Problem für immer zu beseitigen, genau wie Apple. Play Services und den Play Store als Gatekeeper fungieren zu lassen, ist eine Notlösung, aber angesichts der Größe und Ausdehnung des Android-Ökosystems ist es ziemlich effektiv.

Es ist nicht in Ordnung, dass viele Hersteller immer noch viel zu lange brauchen, um wichtige Sicherheitsupdates für Geräte, insbesondere für weniger bekannte, zu veröffentlichen, da Probleme wie dieses häufig hervorgehoben werden. Aber es ist viel besser als nichts.

Es ist wichtig, sich über Sicherheitsprobleme im Klaren zu sein, insbesondere wenn Sie ein technisch versierter Android-Benutzer sind - die Art von Person, an die sich normale Leute wenden, um Hilfe zu erhalten, wenn mit ihrem Telefon etwas schief geht. Aber es ist auch eine gute Idee, die Dinge im Blick zu behalten und sich daran zu erinnern, dass nicht nur die Verwundbarkeit wichtig ist, sondern auch der mögliche Angriffsvektor. Im Fall des von Google kontrollierten Ökosystems sind der Play Store und die Play Services zwei leistungsstarke Tools, mit denen Google mit Malware umgehen kann.

So bleiben Sie sicher und bleiben Sie schlau. Wir halten Sie mit weiteren Informationen zu Fake ID von den wichtigsten Android-OEMs auf dem Laufenden.

Update: Ein Google-Sprecher hat Android Central die folgende Erklärung übermittelt:

"Wir wissen es zu schätzen, dass Bluebox diese Sicherheitsanfälligkeit verantwortungsbewusst an uns gemeldet hat. Nach Recherchen von Drittanbietern wurde Android für die Benutzer verstärkt. Nachdem wir von dieser Sicherheitsanfälligkeit erfahren hatten, haben wir schnell einen Patch veröffentlicht, der sowohl an Android-Partner als auch an AOSP verteilt wurde Google Play und Verify Apps wurden ebenfalls verbessert, um Benutzer vor diesem Problem zu schützen. Derzeit haben wir alle bei Google Play eingereichten Anwendungen sowie die von Google außerhalb von Google Play geprüften Anwendungen gescannt und keine Hinweise darauf gefunden, dass dies versucht wurde Ausnutzung dieser Sicherheitsanfälligkeit."

Sony hat uns auch mitgeteilt, dass derzeit daran gearbeitet wird, die gefälschte ID auf seine Geräte zu übertragen.