Logo ar.androidermagazine.com
Logo ar.androidermagazine.com

"معرف مزيف" وأمن Android [محدث]

جدول المحتويات:

Anonim

أعلنت اليوم شركة أبحاث الأمن BlueBox - وهي نفس الشركة التي كشفت عن مشكلة عدم الحصانة التي يطلق عليها Android "Master Key" - اكتشاف خلل في طريقة تعامل Android مع شهادات الهوية المستخدمة للتوقيع على التطبيقات. تسمح الثغرة الأمنية ، التي أطلق عليها BlueBox بـ "Fake ID" ، للتطبيقات الضارة بربط نفسها بشهادات من تطبيقات شرعية ، وبالتالي الوصول إلى الأشياء التي لا ينبغي أن يكون لها حق الوصول إليها.

مثل ثغرات أمنية مثل هذا الصوت مخيف ، ولقد رأينا بالفعل واحد أو اثنين من عناوين القطعي اليوم كما انهارت هذه القصة. ومع ذلك ، فإن أي خطأ يتيح للتطبيقات القيام بأشياء لا يُفترض أن تكون مشكلة خطيرة. لذلك دعونا نلخص ما يجري باختصار ، وماذا يعني بالنسبة لأمن نظام Android ، وما إذا كان الأمر يستحق القلق بشأن …

تحديث: لقد قمنا بتحديث هذه المقالة لتعكس تأكيدًا من Google بأن ميزة Play Store و "التحقق من التطبيقات" قد تم تحديثهما بالفعل لمعالجة خطأ معرف المزيف. هذا يعني أن الغالبية العظمى من أجهزة Google Android النشطة تتمتع بالفعل ببعض الحماية من هذه المشكلة ، كما نوقش لاحقًا في المقالة. يمكن العثور على بيان Google بالكامل في نهاية هذا المنشور.

المشكلة - شهادات المراوغة

ينبع "معرف المزيف" من خطأ في مثبت حزمة Android.

وفقًا لـ BlueBox ، تنجم الثغرة الأمنية عن مشكلة في مثبت حزمة Android ، وهو جزء نظام التشغيل الذي يتعامل مع تثبيت التطبيقات. يبدو أن مثبت الحزمة لا يتحقق بشكل صحيح من صحة "سلاسل" الشهادة الرقمية ، مما يسمح لشهادة خبيثة أن تدعي أنها صادرة عن جهة موثوق بها. هذه مشكلة لأن بعض التواقيع الرقمية توفر للتطبيقات وصولاً متميزًا إلى بعض وظائف الجهاز. مع Android 2.2-4.3 ، على سبيل المثال ، يتم منح التطبيقات التي تحمل توقيع Adobe وصولًا خاصًا إلى محتوى عرض الويب - وهو مطلب لدعم Adobe Flash إذا تسبب سوء الاستخدام في حدوث مشاكل. وبالمثل ، فإن خداع توقيع التطبيق الذي يتمتع بامتياز الوصول إلى الأجهزة المستخدمة للدفعات الآمنة عبر NFC قد يتيح للتطبيق الضار اعتراض المعلومات المالية الحساسة.

والأمر الأكثر إثارة للقلق هو أنه يمكن أيضًا استخدام شهادة ضارة لانتحال شخصية بعض برامج إدارة الأجهزة عن بُعد ، مثل 3LM ، التي تستخدمها بعض الشركات المصنعة وتمنح سيطرة شاملة على الجهاز.

كما يكتب الباحث BlueBox Jeff Foristall:

"تلعب توقيعات التطبيق دورًا مهمًا في نموذج أمان Android. يحدد توقيع التطبيق من يمكنه تحديث التطبيق ، وما هي التطبيقات التي يمكنها مشاركة بياناته ، وما إلى ذلك. يمكن استخدام أذونات معينة ، تستخدم للوصول إلى البوابة ، فقط من خلال التطبيقات التي تحتوي على نفس توقيع مُنشئ الإذن. والأمر الأكثر إثارة للاهتمام هو أن التوقيعات المحددة جدًا تُمنح امتيازات خاصة في بعض الحالات."

على الرغم من أن مشكلة Adobe / webview لا تؤثر على Android 4.4 (نظرًا لأن عرض الويب الآن يعتمد على Chromium ، والذي لا يحتوي على نفس عناصر ربط Adobe) ، إلا أن علة مثبت الحزمة الأساسية تستمر في التأثير على بعض إصدارات KitKat. في بيان تم تقديمه إلى Android Central ، قالت Google: "بعد تلقي كلمة بهذه الثغرة الأمنية ، أصدرنا بسرعة تصحيحًا تم توزيعه على شركاء Android ، وكذلك على مشروع Android Open Source Project".

تقول Google إنه لا يوجد دليل على "معرف مزيف" يتم استغلاله في البرية.

بالنظر إلى أن BlueBox تقول إنها أبلغت Google في أبريل ، فمن المحتمل أن يتم تضمين أي إصلاح في Android 4.4.3 ، وربما بعض تصحيحات الأمان المستندة إلى 4.4.2 من مصنعي المعدات الأصلية. (انظر هذا الالتزام - شكرًا Anant Shrivastava.) يُظهر الاختبار المبدئي مع تطبيق BlueBox أن أجهزة LG G3 و Samsung Galaxy S5 و HTC One M8 الأوروبية لا تتأثر بمعرف Fake ID. لقد تواصلنا مع الشركات المصنعة الأصلية لأجهزة Android الرئيسية لمعرفة الأجهزة الأخرى التي تم تحديثها.

بالنسبة إلى تفاصيل Fake ID vuln ، يقول Forristal إنه سيكشف المزيد عن مؤتمر Black Hat في لاس فيجاس في 2 أغسطس. في بيانها ، قالت Google إنها قد تفحصت جميع التطبيقات في متجر Play ، واستضافت بعضها في متاجر التطبيقات الأخرى ، ولم يعثر على دليل على أن هذا الاستغلال كان يستخدم في العالم الحقيقي.

الحل - إصلاح أخطاء Android باستخدام Google Play

من خلال Play Services ، يمكن لـ Google محو هذا الخطأ بشكل فعال عبر معظم أنظمة Android النشطة.

معرف المزيف هو ثغرة أمنية خطيرة إذا استهدفت بشكل صحيح قد تسمح للمهاجمين بعمل أضرار جسيمة. ونظرًا لأنه تمت معالجة الأخطاء الأساسية مؤخرًا فقط في AOSP ، فقد يبدو أن الغالبية العظمى من هواتف Android مفتوحة للهجوم ، وستظل كذلك في المستقبل المنظور. كما ناقشنا من قبل ، فإن مهمة الحصول على مليار أو أكثر من هواتف أندرويد النشطة محدثة تعد تحديًا هائلاً ، و "التفتيت" يمثل مشكلة مضمّنة في الحمض النووي للأندرويد. لكن لدى Google بطاقة رابحة للعبها عند التعامل مع مشكلات الأمان مثل هذه - خدمات Google Play.

تمامًا كما تضيف Play Services ميزات وواجهات برمجة تطبيقات جديدة دون الحاجة إلى تحديث البرنامج الثابت ، يمكن أيضًا استخدامها لسد الثغرات الأمنية. منذ وقت مضى ، أضافت Google ميزة "التحقق من التطبيقات" إلى خدمات Google Play كوسيلة لمسح أي تطبيقات بحثًا عن محتوى ضار قبل تثبيتها. ما هو أكثر من ذلك ، يتم تشغيله بشكل افتراضي. في Android 4.2 وما فوقها ، يعيش تحت الإعدادات> الأمان ؛ في الإصدارات القديمة ستجدها ضمن إعدادات Google> التحقق من التطبيقات. كما قال Sundar Pichai في Google I / O 2014 ، 93٪ من المستخدمين النشطين على أحدث إصدار من خدمات Google Play. حتى إل جي Optimus Vu القديمة ، التي تشغل Android 4.0.4 Ice Cream Sandwich ، لديها خيار "التحقق من التطبيقات" من Play Services لتوقي البرامج الضارة.

أكدت Google لـ Android Central أنه تم تحديث ميزة "التحقق من التطبيقات" و Google Play لحماية المستخدمين من هذه المشكلة. في الواقع ، فإن الأخطاء الأمنية على مستوى التطبيق هي بالضبط ما تم تصميم ميزة "التحقق من التطبيقات" للتعامل معه. هذا يحد بشكل كبير من تأثير معرف مزيف على أي جهاز يشغل إصدارًا محدثًا من خدمات Google Play - بعيدًا عن أن تكون جميع أجهزة Android معرضة للخطر ، فإن إجراء Google للتصدي لـ معرف مزيف عبر خدمات التشغيل أدى إلى تحييده بشكل فعال قبل أن تصبح المشكلة عامة المعرفه.

سنكتشف المزيد عندما تتوفر معلومات عن الأخطاء في Black Hat. ولكن بما أن مدقق تطبيقات Google ومتجر Play يستطيعان التقاط التطبيقات باستخدام معرف مزيف ، فإن ادعاء BlueBox بأن "جميع مستخدمي Android منذ يناير 2010" في خطر يبدو مبالغًا فيه. (على الرغم من أنه من المسلم به ، فإن المستخدمين الذين يشغلون جهازًا به إصدار Android غير معتمد من Google يتركون في موقف صعب.)

يُعد ترك خدمات Play بمثابة حارس البوابة حلاً مؤقتًا ، ولكنه حل فعال للغاية.

بصرف النظر عن ذلك ، فإن حقيقة أن Google كانت على دراية بـ Fake ID منذ أبريل / نيسان تجعل من غير المحتمل للغاية أن تجعل أي تطبيقات تستخدم المستغل ستدخله في سوق Play في المستقبل. مثل معظم مشكلات أمان Android ، فإن الطريقة الأسهل والأكثر فاعلية للتعامل مع Fake ID هي أن تكون ذكيًا من حيث تحصل على تطبيقاتك.

بالتأكيد ، فإن إيقاف الثغرة الأمنية من الاستغلال ليس هو نفسه القضاء عليه تمامًا. في عالم مثالي ، ستكون Google قادرة على دفع تحديث عبر الأثير إلى كل جهاز يعمل بنظام Android والقضاء على المشكلة إلى الأبد ، تمامًا كما تفعل Apple. يُعد ترك خدمات Play و Play Store بمثابة حراس بوابات حلاً مؤقتًا ، ولكن بالنظر إلى الحجم والطبيعة المترامية لنظام Android ، فهو حل فعال للغاية.

لا يجعل الأمر موافقًا على أن العديد من الشركات المصنعة لا تزال تستغرق وقتًا طويلاً لدفع التحديثات الأمنية الهامة للأجهزة ، وخاصة تلك الأقل شهرة ، حيث تميل إلى إبراز مشكلات مثل هذه. لكنها أفضل بكثير من لا شيء.

من المهم أن تكون على دراية بمشكلات الأمان ، خاصةً إذا كنت من مستخدمي Android الأذكياء - ذلك الشخص الذي يلجأ إليه الأشخاص العاديون للحصول على المساعدة عندما يحدث خطأ ما في هواتفهم. لكنها أيضًا فكرة جيدة أن تبقي الأمور في نصابها الصحيح ، وتذكر أنه ليس فقط مشكلة عدم الحصانة المهمة ، ولكن أيضًا ناقل الهجوم المحتمل. في حالة النظام البيئي الذي تتحكم فيه Google ، تعد Play Store و Play Services من أداتين فعالتين يمكن لـ Google التعامل مع البرامج الضارة بهما.

لذا كن آمنا وابق ذكيا. سنبقيك منشوراً مع أي معلومات إضافية عن معرف المزيف من الشركات المصنعة الرئيسية لأجهزة Android.

التحديث: قام متحدث باسم Google بتزويد Android Central بالبيان التالي:

"نحن نقدر Bluebox الإبلاغ بمسؤولية هذه الثغرة لنا ؛ أبحاث الطرف الثالث هي إحدى الطرق التي أصبح بها Android أقوى للمستخدمين. بعد تلقي كلمة عن هذه الثغرة الأمنية ، أصدرنا بسرعة تصحيحًا تم توزيعه على شركاء Android ، وكذلك على AOSP تم تحسين Google Play و Verify Apps لحماية المستخدمين من هذه المشكلة ، وفي الوقت الحالي ، قمنا بفحص جميع التطبيقات المرسلة إلى Google Play بالإضافة إلى تلك التي استعرضتها Google من خارج Google Play ولم نر أي دليل على محاولة استغلال هذه الضعف ".

أخبرتنا Sony أيضًا أنها تعمل على دفع إصلاح معرف المزيف إلى أجهزتها.