MojAndroid

Milióny ľudí používajúcich zariadenia s Androidom môže byť potenciálne ohrozených kvôli bezpečnostnej chybe v tomto mobilnom operačnom systéme. Táto chyba bola bezpečnostnou spoločnosťou Bluebox Labs, ktorá ju objavila, pomenovaná ako „Fake ID“, teda falošná identita. Chyba bola prítomná v Androide od verzie 2.1 a opravená bola až v apríli tohto roku v jednej z aktualizácií Androidu 4.4 KitKat. Podľa štatistík samotnej spoločnosti Google však až 82,1% zariadení beží pod staršou verziou operačného systému, takže ohrozené môžu byť skutočne desiatky miliónov používateľov.

V blogu, ktorý bol zverejnený v týchto dňoch, Bluebox vysvetľuje, že podstata tohto bezpečnostného problému spočíva v spôsobe, akým je overovaná bezpečnosť každej aplikácie pre Android. Každá takáto aplikácia má totiž vlastný kryptografický podpis, ktorý jej určuje oprávnenia a tiež to, kto ju môže aktualizovať. Na to, aby aplikácie tieto podpisy získali, sú podpisované pomocou tzv. certifikátov identity, ktoré postupujú reťazcom dôveryhodných skupín, u ktorých sa predpokladá ,že zaručia, že softvér je takto kontrolovaný tými správnymi ľuďmi.

V tejto súvislosti môžeme rozlišovať dve skupiny certifikátov, „rodičovské“ a „detské“. Pri inštalácii aplikácií sú tieto certifikáty navzájom kontrolované a testované na vzájomnú zhodu, vďaka čomu by aplikácia mala byť dôveryhodná. Rodičovský certifikát má dokazovať, že detský certifikát je dôveryhodný, pričom celé je to súčasť procesu, nazývaného „reťaz certifikátov“.

Hoci pre laikov to môže znieť nezrozumiteľne, pri správnom fungovaní by sa malo jednať o skutočne spoľahlivý bezpečnostný mechanizmus. Bluebox však tvrdí, že celý tento podpisový systém bol v starších verziách Androidu narušený a operačný systém reťazce certifikátov dostatočne nekontroloval.

Inak povedané, nejaká identita v operačnom systéme môže tvrdiť, že je vydaná inou identitou a kryptografický kód Androidu toto jej tvrdenie nemôže overiť (za bežných okolností sa to realizuje overením podpisu vydavateľa v detskom certifikáte voči jeho verejnému certifikátu),“ objasňuje spoločnosť. Tento bezpečnostný problém môže byť veľmi závažný v prípadoch, kedy boli špecifickým podpisom pridelené špecifické povolenia. Napríklad, každá aplikácia, obsahujúca rodičovský certifikát od spoločnosti Adobe Systems je oprávnená spúšťať webový plugin, ktorý sa používa na načítanie HTML kódu v ostatných aplikáciách.

Android malware vírus

Nejaký hacker by tak mohol vytvoriť nový certifikát, ktorý by sa javil ako vydaný spoločnosťou Adobe a zlúčiť ho s detským certifikátom svojej škodlivej aplikácie. Takáto škodlivá aplikácia by tak mohla získať všetky oprávnenia, ktoré má softvér Adobe bez toho, aby bol používateľ na túto skutočnosť upozornený. Následne by mohol spustiť webový plugin v inej aplikácii, ktorý by mu na zariadení umožnil spustiť škodlivý kód a nainfikovať ho malvérom. Útok by tak bol dokonaný.

Niečo podobné by útočník mohol vykonať aj za použitia podpisu NFC a získať tak jeho oprávnenia aj v aplikácii Google Wallet. Tu by už mohli byť ohrozené aj priamo financie jednotlivých používateľov, upozorňuje Bluebox. Celý problém ešte viac prehlbuje skutočnosť, že Android aplikácie môžu byť podpisované viacerými signatármi. To umožňuje útočníkovi vytvoriť jednu škodlivú aplikáciu, ktorá však bude obsahovať niekoľko falošných identít naraz a využívať tak oprávnenia vyplývajúce z viacerých bezpečnostných podpisov.

Hovorca Googlu v tejto súvislosti uviedol, že po upozornení zo strany Blueboxu rýchlo vydali bezpečnostnú záplatu, ktorú odoslali svojim Android partnerom a tiež aliancii Android Open Source Project. „Overovanie aplikácií v obchode Play bolo tiež vylepšené s cieľom chrániť používateľov pred týmto bezpečnostným problémom. Preskenovali sme aj všetky aplikácie v spomínanom obchode a nenašli sme ani len náznak pokusu o zneužitie tejto chyby,“ dodal.

Zdroj: theguardian.com

29.7.2014
  • Juraj Janecek

    prosim Vas je to PRE bezpecnostnu chybu. nie kvoli

    • Branislav Caban

      Juraj, máš pravdu, že väčšinou sa v príčinnom význame namiesto „kvôli“ odporúča „pre“, ale na druhej strane nikde to neuvádzajú (aspoň podľa toho, čo som zistil) ako vyslovenú chybu. V Synonymickom slovníku SAV z r. 2000 sa dokonca tieto slová uvádzajú ako synonymá (str. 227). Myslím, že je to v tomto význame dosť zaužívané a verím, že sa na nás nebudeš hnevať, ak to niekedy takto použijeme. Samozrejme, vždy si budeme vážiť, ak nás upozorníš na nejaké preklepy či iné chyby.

      • Juraj Janecek

        ja len ze to kole oci

        Kvôli ako predložka s tretím pádom vyjadruje prospech, účel. Môže tiež vyjadrovať príslovku – po vôli.

        Pre ako preložka vyjadruje predovšetkým príčinu, dôvod. V ustálených výrazoch vyjadruje aj účel alebo cieľ: poistenie pre prípad …, tebe pre radosť.

  • Petoss

    A z tých 82,1% ohrozených zariadení má asi tak 1% zapnutú možnosť inštalovať aplikácie z neznámych zdrojov, takže drvivá väčšina zariadení ostáva mimo ohrozenia :)

    • serious-man

      Ja si bez aplikacii z neznamych zdrojov svoj zivot neviem ani predstavit :D a rovnako ani moji znami

  • serious-man

    Vyrobcovia telefonov by mali svojich zakaznikov chranit ci nie? A aj tak drviva vacsina telefonov nikdy nedostane najnovsi android ale dufam ze sa to zmeni prichodom androidu L.

    • Tomáš SZ

      a ty si už dostal nejaký vírus? Ja mám x-té zariadenie s Androidom, custom rom atď a nikdy som nemal žiadny problém. Ani som ešte od nikoho nepočul, že mi mal niečo. Tak potom?

      • serious-man

        Mne ide o to ze by mali vyrobcovia dat update androidu na kazdy telefon nielen na tie ich „vlajkove lode“.

  • ano

    Ak odvratim pohlad od podstaty clanku, tak ma velmi pobavil „volny“ preklad autora clanku, konkretne „child certificate“ ako „detsky certifikat“ …chlapci, aspon keby ste tak bezhlavo neprekladali, tak by ste prisli na to, ze existuju aj synonyma slov, ak neexistuje doslovny preklad ako napriklad: nadriadeny – podriadeny, rodic – potomok …ale vsetko vyplyva z kontextu :)

  • Lacoone

    Myslím,že na xposed framework je patch na tento bug

  • xXx

    No tak toto ma pobavilo, síce nepoznám nikoho čo by kvôli takejto „chybe“ mal nejaké problém.
    Ale hneď ako som videl 83% uživateľov ma aj tak starší android ma napadol že toto je „len“ marketing, teda máte starší telefón a nemáte najnovšiu verziu OS ? – Kúpte si nový! – Ste v ohrození!

+