Zabezpečenie Samsung: Ako dlho je „príliš dlho“ na opravu?

AKTUALIZOVAŤ: Aktualizované o komentár od spoločnosti Samsung.

Ako dlho by mali mať spoločnosti na opravu bezpečnostných problémov pred zverejnením? Prípadová štúdia dokumentujúca nedávnu mobilnú zraniteľnosť Samsungu vyvoláva otázku.

The Nadácia Dr. Manuela Sadoského, so sídlom v Argentíne, zverejnené dňa zoznam zabezpečenia Úplné zverejnenie zraniteľnosť, ktorá ovplyvňuje používateľov zariadení Samsung. Chyby zabezpečenia v aplikácii Samsung SNS Provider pre Android, ktoré objavil Joaquín Manuel Rinaudo, potenciálne ohrozujú účty sociálnych médií. umožnenie škodlivým aplikáciám tretích strán pristupovať k fotografiám, aktualizáciám stavu, informačným kanálom, polohe a ďalším informáciám – ako aj zverejňovať obsah v mene používateľa bez súhlas.

Aplikáciu Samsung Social Networking Service Provider (SNS Provider) používajú zariadenia Samsung na správu účtov sociálnych médií vrátane účtov na Facebooku, Twitteri, Google+, LinkedIn a Foursquare. Služba tiež funguje interne ako most, ktorý umožňuje iným aplikáciám, ako je napríklad Galéria, prístup k údajom a obsahu uloženému na týchto webových lokalitách.

Keď sa používateľ prihlási do svojho účtu sociálnych médií na zariadení Samsung, ktoré má nainštalovaného poskytovateľa SNS, aplikácia okamžite požiada o úplný prístup k účtu. Ak je to povolené, získa sa prístupový token k účtu a uloží sa do lokálneho súboru zdieľaných preferencií.

K 17. februáru 2015 podľa bulletinu mesačne využíva poskytovateľa SNS 41 miliónov používateľov.

Nadácia tvrdí, že poskytovateľ SNS implementuje služby používané na správu a synchronizáciu týchto účtov, ale „tieto služby nie sú chránené žiadnymi povoleniami“. V bezpečnostnom oznámení sa uvádza:

„V dôsledku toho môžu škodlivé aplikácie tretích strán nainštalované v zariadení využívať tieto nechránené služby na priame získavanie fotografií, stavy, informačné kanály, umiestnenie a iné typy informácií z účtov používateľa na sociálnej sieti Facebook alebo Twitter, ako aj uverejňovanie nového obsahu na to."

Softvér Samsung navyše umožňuje aj iným aplikáciám požiadať o prístupový token k účtom Facebook a Twitter – ktoré sú chránené vlastnými povoleniami, ale bez „správnych“ značiek úrovne ochrany. V dôsledku toho používatelia v predvolenom nastavení nie sú upozornení na odoslanie žiadostí.

„Škodlivá aplikácia, ktorej sú udelené tieto povolenia, by sa mohla pripojiť k týmto službám a získať prihlasovacie údaje potrebné na trvalý prístup k obsahu konta používateľa na sociálnej sieti,“ bezpečnostný bulletin štátov. „Takáto aplikácia by mohla napríklad pristupovať k súkromným správam používateľa na Facebooku pomocou prístupového tokenu poskytnutého príslušnou službou Poskytovateľa SNS.“

V zariadeniach so systémom Android 4.3 a starším aplikácia zahŕňa aj poskytovateľov obsahu s vlastnými povoleniami ako „normálne“, takže každá aplikácia spustená na týchto zariadeniach môže požiadať o tokeny – a teda získať prístup k uloženým informáciám v rámci.

Zraniteľné balíky sú podrobne uvedené nižšie:

• Verzia poskytovateľa SNS staršia ako 1.1.1 na zariadeniach Samsung so systémom Android 4.1
• Verzia poskytovateľa SNS staršia ako 1.1.6 na zariadeniach Samsung so systémom Android 4.2
• Verzia poskytovateľa SNS staršia ako 1.2.1 na zariadeniach Samsung so systémom Android 4.3
• Verzia poskytovateľa SNS staršia ako 1.3.5 na zariadeniach Samsung so systémom Android 4.4
• Verzia poskytovateľa SNS staršia ako 1.3.5 na zariadeniach Samsung so systémom Android 5.0

Po upozornení spoločnosti Samsung na túto zraniteľnosť juhokórejská firma zakázala pridelené ID aplikácie vo februári poskytovateľovi SNS na Facebooku a Twitteri a vydala pevné verzie aplikácie s novou ID. Používatelia sú teraz chránení pred škodlivým softvérom, ktorý používa prístupové tokeny získané prostredníctvom predchádzajúcich verzií. Ak používatelia stále používajú zraniteľné verzie, pravdepodobne sa im pri prihlasovaní zobrazí upozornenie o vypršaní platnosti alebo „skúste to znova“.

Najdôležitejšou časťou tohto odhalenia je však časová os poskytnutá bezpečnostnými výskumníkmi. Zraniteľnosť bola pôvodne nahlásená tímu Samsung pre mobilnú bezpečnosť 20. novembra 2014. Po takmer týždni diskusie o šifrovanom e-maile Programa de Seguridad en TIC - ktorý koordinoval zverejnenie so spoločnosťou Rinaudo -- dodali predbežnú správu a oznámili spoločnosti, že pôvodný dátum zverejnenia bol stanovený na 2. decembra, 2014.

Dňa 26. novembra 2014 spoločnosť Samsung požiadala o odloženie zverejnenia a požiadala o dôkaz o koncepte zneužitia. V ten istý deň Programa de Seguridad en TIC súhlasil so žiadosťou a poskytol POC.

O štyri dni neskôr spoločnosť Samsung túto zraniteľnosť potvrdila.

Pozri tiež: Odmeny za chyby: „Kúp si, čo chceš“

V decembri spoločnosť Samsung požiadala o ďalšie podrobnosti o chybe a inštitúcia súhlasila s odložením zverejnenia do 16. decembra 2014. 12. decembra si Samsung uvedomil, že aktualizácia si bude vyžadovať koordináciu medzi predajcami Samsung SNS a poskytovateľmi služieb.

Spoločnosť potom požiadala o šesť mesiacov na vyriešenie problému, pretože by si to „vyžadovalo koordináciu plánu uvoľnenia s operátormi“, a to aj napriek tomu, že testovanie už prebieha. Okrem toho bol problém ešte zložitejší, pretože by bolo potrebné zostaviť a otestovať zoznamy modelov zraniteľných zariadení.

Dňa 15. decembra Programa de Seguridad en TIC informovala dodávateľa, že šesť mesiacov je príliš dlho. Spoločnosť Samsung v reakcii pripustila, že odstránenie problému bude pravdepodobne trvať dlhšie ako pol roka, „kvôli zložitosti v systéme Android softvérový ekosystém, nemožnosť automatickej aktualizácie aplikácie a problémy s aktualizáciou softvéru na niektoré modely spôsobené operátorom postupy."

Začiatkom januára sa potom diskutovalo o alternatívnych, dočasných opatreniach. Diskutovalo sa o informovaní používateľov a požiadaní ich o deaktiváciu aplikácie, zneplatnení ID aplikácie poskytovateľa SNS na Facebooku alebo o tom, aby spoločnosť Samsung použila jeden z vlastných automatických aktualizácií na dodanie opravy. Zatiaľ čo výskumní pracovníci v oblasti bezpečnosti súhlasili s opätovným odložením zverejnenia, spoločnosť Samsung čelila oneskoreniam pri zrušení platnosti ID aplikácie v dôsledku nevyhnutných interných procesov otázok a odpovedí.

Vo februári spoločnosť Samsung uviedla, že deaktivuje staré ID zo strany servera sociálnej siete - Facebook a Twitter, pretože ostatné majú inú ochranu. sa takýto presun stal zbytočným – presun, ktorý sa mal uskutočniť 13. februára, ale trval ďalší týždeň kvôli testovaniu, oneskoreniam a recenzie. Samsung tiež požiadal o ďalšie odvolanie na zverejnenie do 10. marca.

Nakoniec, niekoľko mesiacov po objavení bola bezpečnostná chyba opravená a bolo vydané oznámenie o zverejnení. Prípad však vyvoláva otázku – ako dlho uplynie medzi zverejnením a opravami zabezpečenia? Na jednej strane môže zverejnenie prinútiť technologických gigantov k skoršej oprave zraniteľných miest a ochrániť používateľov v včas – ale dalo by sa tiež tvrdiť, že zverejnenie vyžaduje, aby hackeri využili chyby v prvom miesto. Niektoré spoločnosti, ako napríklad Microsoft, veria zverejneniam môže sa cítiť menej zásadovo a skôr ako „gotcha“, kde firmy ako Google argumentujú svojimi Projekt nula 90 dní politika zverejňovania poskytuje ostatným spoločnostiam dostatok času na vyriešenie bezpečnostných problémov.

Hovorkyňa Samsungu pre ZDNet povedala:

„Ďakujeme Manuel Sadosky Foundation za to, že nás upozornila na možný problém so zraniteľnosťou v aplikácii Samsung ‚SNS Provider‘. Problém sme už riešili prostredníctvom aktualizácie aplikácie od 17. februára. Automatickú aktualizáciu aplikácií už dostali väčšinou všetci používatelia.
Avšak pre používateľov, ktorí sa špeciálne rozhodli manuálne aktualizovať svoju aplikáciu prostredníctvom obchodu s aplikáciami spoločnosti Samsung, „Galaxy Apps“ alebo „Samsung Apps“, odporúčame aktualizovať aplikáciu „SNS Provider“ buď prostredníctvom „Galaxy Apps“ alebo „Samsung“. "Aplikácie."

Čítajte ďalej: Vo svete bezpečnosti

• Anonym sa zameriava na sociálne médiá ISIS, náborové akcie v kampani #OpISIS
• Slabá bezpečnosť zanechala záznamy zákazníkov Anthem odhalené
• Verizon urýchlene opravuje bezpečnostnú chybu e-mailového účtu počas otvorenej sezóny
• Výkonná riaditeľka spoločnosti Sony Amy Pascal odstupuje po kybernetických útokoch a odhalení e-mailom
• Facebook financuje vývoj GNU Privacy Guard