'Identificação falsa' e segurança do Android [atualizado]

Hoje, a empresa de pesquisa de segurança BlueBox - a mesma empresa que descobriu a vulnerabilidade "Master Key" do Android - anunciou a descoberta de um bug na maneira como o Android lida com os certificados de identidade usados ​​para assinar aplicativos. A vulnerabilidade, que a BlueBox apelidou de "Fake ID", permite que aplicativos mal-intencionados se associem a certificados de aplicativos legítimos, obtendo acesso a coisas a que não deveriam ter acesso.

Vulnerabilidades de segurança como essa parecem assustadoras, e já vimos uma ou duas manchetes hiperbólicas hoje, pois esta história foi contada. No entanto, qualquer bug que permita que os aplicativos façam coisas que não deveriam é um problema sério. Então, vamos resumir o que está acontecendo em poucas palavras, o que isso significa para a segurança do Android e se vale a pena se preocupar …

Atualização: atualizamos este artigo para refletir a confirmação do Google de que tanto o Play Store quanto o recurso "verificar aplicativos" foram realmente atualizados para solucionar o bug do ID falso. Isso significa que a grande maioria dos dispositivos ativos do Google Android já tem alguma proteção contra esse problema, conforme discutido mais adiante neste artigo. A declaração completa do Google pode ser encontrada no final deste post.

O problema - certificados desonestos

'Fake ID' decorre de um bug no instalador do pacote Android.

Segundo o BlueBox, a vulnerabilidade decorre de um problema no instalador de pacotes do Android, a parte do sistema operacional que lida com a instalação de aplicativos. Aparentemente, o instalador do pacote não verifica corretamente a autenticidade das "cadeias" de certificados digitais, permitindo que um certificado malicioso afirme que foi emitido por uma parte confiável. Isso é um problema, porque certas assinaturas digitais fornecem aos aplicativos acesso privilegiado a algumas funções do dispositivo. Com o Android 2.2-4.3, por exemplo, os aplicativos com a assinatura da Adobe recebem acesso especial ao conteúdo da visualização na web - um requisito para o suporte ao Adobe Flash que, se mal utilizado, pode causar problemas. Da mesma forma, falsificar a assinatura de um aplicativo que tenha acesso privilegiado ao hardware usado para pagamentos seguros por NFC pode permitir que um aplicativo mal-intencionado intercepte informações financeiras confidenciais.

Mais preocupante, um certificado malicioso também pode ser usado para representar certos softwares de gerenciamento de dispositivos remotos, como o 3LM, que é usado por alguns fabricantes e concede amplo controle sobre um dispositivo.

Como escreve Jeff Foristall, pesquisador da BlueBox:

"As assinaturas de aplicativos desempenham um papel importante no modelo de segurança do Android. A assinatura de um aplicativo estabelece quem pode atualizar o aplicativo, quais aplicativos podem compartilhar seus dados, etc. Certas permissões, usadas para bloquear o acesso à funcionalidade, são utilizáveis ​​apenas por aplicativos que possuem o mesma assinatura que o criador da permissão. Mais interessante, assinaturas muito específicas recebem privilégios especiais em certos casos ".

Embora o problema do Adobe / webview não afete o Android 4.4 (porque o webview agora é baseado no Chromium, que não possui os mesmos ganchos da Adobe), o bug do instalador do pacote subjacente aparentemente continua afetando algumas versões do KitKat. Em uma declaração dada ao Android Central, o Google disse: "Depois de receber a notícia dessa vulnerabilidade, emitimos rapidamente um patch que foi distribuído aos parceiros do Android, bem como ao Projeto de código aberto do Android".

O Google diz que não há evidências de que o "ID falso" esteja sendo explorado na natureza.

Dado que o BlueBox informou que informou o Google em abril, é provável que qualquer correção tenha sido incluída no Android 4.4.3 e, possivelmente, alguns patches de segurança baseados em 4.4.2 dos OEMs. (Veja este código comprometido - obrigado Anant Shrivastava.) Os testes iniciais com o aplicativo da BlueBox mostram que o LG G3 europeu, o Samsung Galaxy S5 e o HTC One M8 não são afetados pelo ID falso. Entramos em contato com os principais OEMs do Android para descobrir quais outros dispositivos foram atualizados.

Quanto às especificidades do vulcão Fake ID, Forristal diz que revelará mais sobre a Black Hat Conference em Las Vegas em 2 de agosto. Em seu comunicado, o Google afirmou ter verificado todos os aplicativos em sua Play Store e alguns hospedados em outras lojas de aplicativos e não encontrou evidências de que a exploração estivesse sendo usada no mundo real.

A solução - Corrigindo erros do Android com o Google Play

Por meio do Play Services, o Google pode efetivamente neutralizar esse bug na maior parte do ecossistema ativo do Android.

O ID falso é uma vulnerabilidade de segurança séria que, se direcionada adequadamente, pode permitir que um invasor cause danos sérios. E como o bug subjacente foi abordado apenas recentemente no AOSP, pode parecer que a grande maioria dos telefones Android está aberta a ataques e permanecerá assim no futuro próximo. Como discutimos anteriormente, a tarefa de atualizar o bilhão de telefones Android ativos é um enorme desafio, e a "fragmentação" é um problema incorporado ao DNA do Android. Mas o Google tem um trunfo para jogar ao lidar com questões de segurança como esta - o Google Play Services.

Assim como o Play Services adiciona novos recursos e APIs sem a necessidade de uma atualização de firmware, também pode ser usado para corrigir falhas de segurança. Há algum tempo, o Google adicionou um recurso "verificar aplicativos" ao Google Play Services como uma maneira de verificar se há conteúdo malicioso em qualquer aplicativo antes de ele ser instalado. Além disso, está ativado por padrão. No Android 4.2 e superior, ele fica em Configurações> Segurança; nas versões mais antigas, você o encontrará em Configurações do Google> Verificar aplicativos. Como Sundar Pichai disse no Google I / O 2014, 93% dos usuários ativos estão na versão mais recente dos serviços do Google Play. Até o nosso antigo LG Optimus Vu, executando o Android 4.0.4 Ice Cream Sandwich, tem a opção "verificar aplicativos" do Play Services para proteger-se contra malware.

O Google confirmou ao Android Central que o recurso "verificar aplicativos" e o Google Play foram atualizados para proteger os usuários contra esse problema. De fato, erros de segurança no nível do aplicativo como esse são exatamente o que o recurso "verificar aplicativos" foi projetado para lidar. Isso limita significativamente o impacto do Fake ID em qualquer dispositivo executando uma versão atualizada do Google Play Services - longe de todos os dispositivos Android serem vulneráveis, a ação do Google para solucionar o Fake ID via Play Services efetivamente o neutralizou antes que o problema se tornasse público conhecimento.

Descobriremos mais quando as informações sobre o bug estiverem disponíveis no Black Hat. Mas como o verificador de aplicativos do Google e a Play Store podem capturar aplicativos usando o Fake ID, a alegação da BlueBox de que "todos os usuários do Android desde janeiro de 2010" estão em risco parece exagerada. (Embora seja certo que os usuários que executam um dispositivo com uma versão do Android não aprovada pelo Google ficam em uma situação mais complicada.)

Deixar o Play Services atuar como gatekeeper é uma solução paliativa, mas é bastante eficaz.

Independentemente disso, o fato de o Google estar ciente do Fake ID desde abril torna altamente improvável que qualquer aplicativo que use a exploração chegue à Play Store no futuro. Como a maioria dos problemas de segurança do Android, a maneira mais fácil e eficaz de lidar com o Fake ID é ser inteligente sobre a origem dos aplicativos.

Certamente, impedir que uma vulnerabilidade seja explorada não é o mesmo que eliminá-la completamente. Em um mundo ideal, o Google seria capaz de enviar uma atualização sem fio para todos os dispositivos Android e eliminar o problema para sempre, assim como a Apple. Deixar o Play Services e a Play Store atuarem como guardiões é uma solução paliativa, mas, considerando o tamanho e a natureza do ecossistema Android, é bastante eficaz.

Não é aceitável que muitos fabricantes ainda demorem muito para enviar atualizações de segurança importantes para dispositivos, particularmente os menos conhecidos, já que problemas como esse tendem a se destacar. Mas é muito melhor que nada.

É importante estar ciente dos problemas de segurança, especialmente se você é um usuário Android experiente em tecnologia - o tipo de pessoa que as pessoas comuns recorrem para obter ajuda quando algo dá errado com o telefone. Mas também é uma boa idéia manter as coisas em perspectiva, e lembre-se de que não é apenas a vulnerabilidade que é importante, mas também o possível vetor de ataque. No caso do ecossistema controlado pelo Google, a Play Store e o Play Services são duas ferramentas poderosas com as quais o Google pode lidar com malware.

Portanto, fique seguro e esperto. Manteremos você informado com mais informações sobre o Fake ID dos principais OEMs do Android.

Atualização: um porta-voz do Google forneceu ao Android Central a seguinte declaração:

"Apreciamos o Bluebox que relata com responsabilidade essa vulnerabilidade para nós; pesquisas de terceiros são uma das maneiras pelas quais o Android se fortalece para os usuários. Após receber a notícia dessa vulnerabilidade, emitimos rapidamente um patch que foi distribuído aos parceiros do Android e à AOSP O Google Play e o Verify Apps também foram aprimorados para proteger os usuários desse problema. No momento, examinamos todos os aplicativos enviados ao Google Play, bem como aqueles que o Google analisou fora do Google Play e não vimos nenhuma evidência de tentativa. exploração desta vulnerabilidade ".

A Sony também nos disse que está trabalhando no envio da correção de identificação falsa para seus dispositivos.