MojAndroid

Milióny ľudí používajúcich zariadenia s Androidom môže byť potenciálne ohrozených kvôli bezpečnostnej chybe v tomto mobilnom operačnom systéme. Táto chyba bola bezpečnostnou spoločnosťou Bluebox Labs, ktorá ju objavila, pomenovaná ako „Fake ID“, teda falošná identita. Chyba bola prítomná v Androide od verzie 2.1 a opravená bola až v apríli tohto roku v jednej z aktualizácií Androidu 4.4 KitKat. Podľa štatistík samotnej spoločnosti Google však až 82,1% zariadení beží pod staršou verziou operačného systému, takže ohrozené môžu byť skutočne desiatky miliónov používateľov.

V blogu, ktorý bol zverejnený v týchto dňoch, Bluebox vysvetľuje, že podstata tohto bezpečnostného problému spočíva v spôsobe, akým je overovaná bezpečnosť každej aplikácie pre Android. Každá takáto aplikácia má totiž vlastný kryptografický podpis, ktorý jej určuje oprávnenia a tiež to, kto ju môže aktualizovať. Na to, aby aplikácie tieto podpisy získali, sú podpisované pomocou tzv. certifikátov identity, ktoré postupujú reťazcom dôveryhodných skupín, u ktorých sa predpokladá ,že zaručia, že softvér je takto kontrolovaný tými správnymi ľuďmi.

V tejto súvislosti môžeme rozlišovať dve skupiny certifikátov, „rodičovské“ a „detské“. Pri inštalácii aplikácií sú tieto certifikáty navzájom kontrolované a testované na vzájomnú zhodu, vďaka čomu by aplikácia mala byť dôveryhodná. Rodičovský certifikát má dokazovať, že detský certifikát je dôveryhodný, pričom celé je to súčasť procesu, nazývaného „reťaz certifikátov“.

Hoci pre laikov to môže znieť nezrozumiteľne, pri správnom fungovaní by sa malo jednať o skutočne spoľahlivý bezpečnostný mechanizmus. Bluebox však tvrdí, že celý tento podpisový systém bol v starších verziách Androidu narušený a operačný systém reťazce certifikátov dostatočne nekontroloval.

Inak povedané, nejaká identita v operačnom systéme môže tvrdiť, že je vydaná inou identitou a kryptografický kód Androidu toto jej tvrdenie nemôže overiť (za bežných okolností sa to realizuje overením podpisu vydavateľa v detskom certifikáte voči jeho verejnému certifikátu),“ objasňuje spoločnosť. Tento bezpečnostný problém môže byť veľmi závažný v prípadoch, kedy boli špecifickým podpisom pridelené špecifické povolenia. Napríklad, každá aplikácia, obsahujúca rodičovský certifikát od spoločnosti Adobe Systems je oprávnená spúšťať webový plugin, ktorý sa používa na načítanie HTML kódu v ostatných aplikáciách.

Android malware vírus

Nejaký hacker by tak mohol vytvoriť nový certifikát, ktorý by sa javil ako vydaný spoločnosťou Adobe a zlúčiť ho s detským certifikátom svojej škodlivej aplikácie. Takáto škodlivá aplikácia by tak mohla získať všetky oprávnenia, ktoré má softvér Adobe bez toho, aby bol používateľ na túto skutočnosť upozornený. Následne by mohol spustiť webový plugin v inej aplikácii, ktorý by mu na zariadení umožnil spustiť škodlivý kód a nainfikovať ho malvérom. Útok by tak bol dokonaný.

Niečo podobné by útočník mohol vykonať aj za použitia podpisu NFC a získať tak jeho oprávnenia aj v aplikácii Google Wallet. Tu by už mohli byť ohrozené aj priamo financie jednotlivých používateľov, upozorňuje Bluebox. Celý problém ešte viac prehlbuje skutočnosť, že Android aplikácie môžu byť podpisované viacerými signatármi. To umožňuje útočníkovi vytvoriť jednu škodlivú aplikáciu, ktorá však bude obsahovať niekoľko falošných identít naraz a využívať tak oprávnenia vyplývajúce z viacerých bezpečnostných podpisov.

Hovorca Googlu v tejto súvislosti uviedol, že po upozornení zo strany Blueboxu rýchlo vydali bezpečnostnú záplatu, ktorú odoslali svojim Android partnerom a tiež aliancii Android Open Source Project. „Overovanie aplikácií v obchode Play bolo tiež vylepšené s cieľom chrániť používateľov pred týmto bezpečnostným problémom. Preskenovali sme aj všetky aplikácie v spomínanom obchode a nenašli sme ani len náznak pokusu o zneužitie tejto chyby,“ dodal.

Zdroj: theguardian.com

29.7.2014

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

+