'Id palsu' dan keamanan android [diperbarui]

Hari ini firma riset keamanan BlueBox - perusahaan yang sama yang mengungkap apa yang disebut Android "Master Key" kerentanan - telah mengumumkan penemuan bug dalam cara Android menangani sertifikat identitas yang digunakan untuk menandatangani aplikasi. Kerentanan, yang oleh BlueBox dijuluki "ID Palsu, " memungkinkan aplikasi jahat untuk mengaitkan diri mereka dengan sertifikat dari aplikasi yang sah, sehingga mendapatkan akses ke hal-hal yang seharusnya tidak dapat mereka akses.

Kerentanan keamanan seperti ini terdengar menakutkan, dan kita telah melihat satu atau dua berita utama hiperbolik hari ini karena kisah ini telah dipecahkan. Meskipun demikian, bug apa pun yang memungkinkan aplikasi melakukan hal-hal yang seharusnya tidak menjadi masalah serius. Jadi mari kita simpulkan apa yang terjadi secara singkat, apa artinya bagi keamanan Android, dan apakah perlu khawatir tentang …

Pembaruan: Kami telah memperbarui artikel ini untuk mencerminkan konfirmasi dari Google bahwa fitur Play Store dan "verifikasi aplikasi" memang diperbarui untuk mengatasi bug ID Palsu. Ini berarti sebagian besar perangkat Google Android aktif sudah memiliki beberapa perlindungan dari masalah ini, seperti yang dibahas nanti dalam artikel. Pernyataan Google secara lengkap dapat ditemukan di akhir posting ini.

Masalahnya - sertifikat cerdik

'ID Palsu' berasal dari bug di penginstal paket Android.

Menurut BlueBox, kerentanan berasal dari masalah di penginstal paket Android, bagian dari OS yang menangani instalasi aplikasi. Pemasang paket tampaknya tidak memverifikasi dengan benar keaslian "rantai" sertifikat digital, yang memungkinkan sertifikat jahat untuk mengklaim telah diterbitkan oleh pihak tepercaya. Itu masalah karena tanda tangan digital tertentu menyediakan akses istimewa aplikasi ke beberapa fungsi perangkat. Dengan Android 2.2-4.3, misalnya, aplikasi yang bertanda tangan Adobe diberikan akses khusus ke konten tampilan web - persyaratan untuk dukungan Adobe Flash yang jika disalahgunakan dapat menyebabkan masalah. Demikian pula, menipu tanda tangan aplikasi yang memiliki akses istimewa ke perangkat keras yang digunakan untuk pembayaran aman melalui NFC mungkin membiarkan aplikasi jahat mencegat info keuangan yang sensitif.

Lebih mengkhawatirkan lagi, sertifikat jahat juga dapat digunakan untuk menyamar sebagai perangkat lunak manajemen perangkat jarak jauh tertentu, seperti 3LM, yang digunakan oleh beberapa produsen dan memberikan kendali luas atas perangkat.

Seperti yang ditulis oleh peneliti BlueBox, Jeff Foristall:

"Tanda tangan aplikasi memainkan peran penting dalam model keamanan Android. Tanda tangan aplikasi menentukan siapa yang dapat memperbarui aplikasi, aplikasi apa yang dapat membagikan data itu, dll. Izin tertentu, yang digunakan untuk gerbang akses ke fungsi, hanya dapat digunakan oleh aplikasi yang memiliki tanda tangan yang sama dengan pencipta izin. Lebih menarik lagi, tanda tangan yang sangat spesifik diberikan hak istimewa dalam kasus-kasus tertentu."

Sementara masalah Adobe / webview tidak mempengaruhi Android 4.4 (karena tampilan web sekarang didasarkan pada Chromium, yang tidak memiliki Adobe hooks yang sama), bug penginstal paket yang mendasarinya tampaknya terus mempengaruhi beberapa versi KitKat. Dalam pernyataan yang diberikan kepada Android Central Google mengatakan, "Setelah menerima kabar tentang kerentanan ini, kami dengan cepat mengeluarkan tambalan yang didistribusikan ke mitra Android, serta ke Proyek Sumber Terbuka Android."

Google mengatakan tidak ada bukti 'ID Palsu' dieksploitasi di alam liar.

Mengingat bahwa BlueBox mengatakan hal itu kepada Google pada bulan April, kemungkinan perbaikan apa pun akan disertakan dalam Android 4.4.3, dan mungkin beberapa patch keamanan berbasis 4.4.2 dari OEM. (Lihat komit kode ini - terima kasih Anant Shrivastava.) Pengujian awal dengan aplikasi BlueBox sendiri menunjukkan bahwa LG G3 Eropa, Samsung Galaxy S5 dan HTC One M8 tidak terpengaruh oleh ID Palsu. Kami telah menjangkau OEM Android utama untuk mengetahui perangkat lain mana yang telah diperbarui.

Sedangkan untuk spesifikasi Fake ID vuln, Forristal mengatakan dia akan mengungkapkan lebih banyak tentang di Black Hat Conference di Las Vegas pada 2 Agustus. Dalam pernyataannya, Google mengatakan telah memindai semua aplikasi di Play Store-nya, dan beberapa di-host di toko aplikasi lain, dan tidak menemukan bukti bahwa exploit sedang digunakan di dunia nyata.

Solusinya - Memperbaiki bug Android dengan Google Play

Melalui Play Services, Google dapat secara efektif mensterilkan bug ini di sebagian besar ekosistem Android yang aktif.

ID palsu adalah kerentanan keamanan serius yang jika ditargetkan dengan benar dapat membuat penyerang melakukan kerusakan serius. Dan karena bug yang mendasarinya baru-baru ini diatasi di AOSP, mungkin tampak bahwa sebagian besar ponsel Android terbuka untuk diserang, dan akan tetap demikian di masa mendatang. Seperti yang telah kita bahas sebelumnya, tugas memperbarui miliar ponsel Android yang aktif adalah tantangan besar, dan "fragmentasi" adalah masalah yang ada di dalam DNA Android. Tetapi Google memiliki kartu truf untuk dimainkan ketika berhadapan dengan masalah keamanan seperti ini - Layanan Google Play.

Sama seperti Play Services menambahkan fitur dan API baru tanpa memerlukan pembaruan firmware, itu juga dapat digunakan untuk menyumbat lubang keamanan. Beberapa waktu lalu Google menambahkan fitur "verifikasi aplikasi" ke Layanan Google Play sebagai cara untuk memindai aplikasi apa pun untuk konten berbahaya sebelum diinstal. Terlebih lagi, ini diaktifkan secara default. Di Android 4.2 dan lebih tinggi, ia hidup di bawah Pengaturan> Keamanan; pada versi yang lebih lama Anda akan menemukannya di Pengaturan Google> Verifikasi aplikasi. Seperti yang dikatakan Sundar Pichai di Google I / O 2014, 93 persen pengguna aktif menggunakan layanan Google Play versi terbaru. Bahkan LG Optimus Vu kuno kami, yang menjalankan Android 4.0.4 Ice Cream Sandwich, memiliki opsi "verifikasi aplikasi" dari Play Services untuk berjaga-jaga terhadap malware.

Google telah mengkonfirmasi ke Android Central bahwa fitur "verifikasi aplikasi" dan Google Play telah diperbarui untuk melindungi pengguna dari masalah ini. Memang, bug keamanan tingkat aplikasi seperti ini persis seperti apa fitur "verifikasi aplikasi" dirancang untuk menghadapinya. Ini secara signifikan membatasi dampak ID Palsu pada perangkat apa pun yang menjalankan versi Google Play Services terbaru - jauh dari semua perangkat Android yang rentan, tindakan Google untuk mengatasi ID Palsu melalui Layanan Play secara efektif mengisikannya sebelum masalah itu bahkan menjadi publik pengetahuan.

Kami akan mencari tahu lebih banyak ketika informasi tentang bug tersedia di Black Hat. Tetapi karena verifikasi aplikasi Google dan Play Store dapat menangkap aplikasi menggunakan ID Palsu, BlueBox mengklaim bahwa "semua pengguna Android sejak Januari 2010" berisiko tampaknya berlebihan. (Meskipun diakui, pengguna yang menjalankan perangkat dengan versi Android yang tidak disetujui Google dibiarkan dalam situasi yang lebih sulit.)

Membiarkan Layanan Play bertindak sebagai penjaga gerbang adalah solusi sementara, tetapi ini adalah solusi yang cukup efektif.

Terlepas dari itu, fakta bahwa Google telah mengetahui ID Palsu sejak April membuatnya sangat tidak mungkin bahwa aplikasi yang menggunakan eksploit akan masuk ke Play Store di masa depan. Seperti kebanyakan masalah keamanan Android, cara termudah dan paling efektif untuk berurusan dengan ID Palsu adalah dengan menjadi pintar tentang dari mana Anda mendapatkan aplikasi.

Yang pasti, menghentikan kerentanan agar tidak dieksploitasi tidak sama dengan menghilangkannya sama sekali. Di dunia yang ideal Google akan mampu mendorong pembaruan over-the-air ke setiap perangkat Android dan menghilangkan masalah selamanya, seperti Apple. Membiarkan Layanan Play dan Play Store bertindak sebagai penjaga gerbang adalah solusi sementara, tetapi mengingat ukuran dan sifat luas ekosistem Android, ini adalah solusi yang cukup efektif.

Itu tidak membuatnya oke bahwa banyak produsen masih membutuhkan waktu terlalu lama untuk mendorong pembaruan keamanan penting ke perangkat, terutama yang kurang dikenal, karena masalah seperti ini cenderung disorot. Tapi itu jauh lebih baik daripada tidak sama sekali.

Penting untuk mewaspadai masalah keamanan, terutama jika Anda adalah pengguna Android yang paham teknologi - tipe orang yang biasa ditemui orang untuk meminta bantuan ketika ada masalah dengan telepon mereka. Tapi itu juga ide yang baik untuk menjaga hal-hal dalam perspektif, dan ingat bahwa bukan hanya kerentanan yang penting, tetapi juga kemungkinan vektor serangan. Dalam kasus ekosistem yang dikontrol Google, Play Store dan Play Services adalah dua alat canggih yang dapat digunakan Google untuk menangani malware.

Jadi tetaplah aman dan tetap cerdas. Kami akan terus mengeposkan Anda dengan informasi lebih lanjut tentang ID Palsu dari OEM Android utama.

Pembaruan: Juru bicara Google telah memberi Android Central pernyataan berikut:

"Kami menghargai Bluebox secara bertanggung jawab melaporkan kerentanan ini kepada kami; penelitian pihak ketiga adalah salah satu cara Android menjadi lebih kuat bagi pengguna. Setelah menerima kabar tentang kerentanan ini, kami dengan cepat mengeluarkan tambalan yang didistribusikan ke mitra Android, serta ke AOSP Google Play dan Verifikasi Aplikasi juga telah ditingkatkan untuk melindungi pengguna dari masalah ini. Pada saat ini, kami telah memindai semua aplikasi yang dikirimkan ke Google Play serta yang telah ditinjau oleh Google dari luar Google Play dan kami belum melihat bukti adanya percobaan eksploitasi kerentanan ini."

Sony juga mengatakan kepada kami bahwa mereka sedang berupaya mendorong perbaikan ID palsu ke perangkat-perangkatnya.