Google, Android'in Sahte Kimlik güvenlik açığını düzeltti

Bluebox GüvenliğiBir mobil güvenlik şirketi olan, geçmişi Android 2.1'e kadar uzanan ciddi bir Android güvenlik açığı buldu. Bu delik, Sahte kimlik, kötü amaçlı yazılımlar tarafından herhangi bir kullanıcı bildirimi olmadan güvenilir uygulamaların kimliğine bürünmek için kullanılabilir.

Kötü haber söyleyebilir misin? Yapabileceğini biliyordum.

Bluebox, kötü amaçlı yazılımların halihazırda onaylanmış üst düzey programlar gibi davranmasını sağlayarak Sahte Kimlik'in "kötü amaçlı yazılım tarafından virüsten kaçmak için kullanılabileceğini" iddia ediyor. normal uygulama sanal alanı ve bir veya daha fazla kötü amaçlı eylem gerçekleştirin: Adobe'nin kimliğine bürünerek bir uygulamaya Truva atı ekleyin Sistemler; Google Cüzdan'ın kimliğine bürünerek NFC [Düzenli Alan İletişimi] finans ve ödeme verilerine erişim elde etmek; veya kimliğine bürünerek tüm cihazın tam yönetim kontrolünü ele alın

3LM." İronik bir şekilde 3LM, Android kurumsal güvenlik sisteminin bir parçasıdır.

Bluebox abartmıyor. Bu güvenlik açığı büyük bir sorun olma potansiyeline sahiptir. Bu delik, Android'in 2.1 Eclair'den 4.3.1 Jelly Bean'e kadar tüm sürümlerinde mevcuttur. Android 4.4.x KitKat'ta mevcut değil.

İşte iyi haber: Google açığı kapattı ve henüz istismar edilmedi.

Bir Google sözcüsü şunları söyledi: "Bluebox'un bu güvenlik açığını bize sorumlu bir şekilde bildirmesini takdir ediyoruz; üçüncü taraf araştırmaları, Android'i kullanıcılar için daha güçlü hale getirmenin yollarından biridir. Bu güvenlik açığının haberini aldıktan sonra, hızlı bir şekilde Android ortaklarına dağıtılan bir yama yayınladık. AOSP [Android Açık Kaynak Projesi]. Google Play ve Verify Uygulamaları da kullanıcıları bu sorundan koruyacak şekilde geliştirildi. Şu anda Google Play'e gönderilen tüm başvuruların yanı sıra Google'ın sahip olduğu tüm uygulamaları da taradık. Google Play'in dışından incelendi ve bu özelliğin kötüye kullanıldığına dair hiçbir kanıt görmedik güvenlik açığı."

Yani şimdilik güvendesin. Bu şekilde kaldığınızdan emin olmak için aşağıdakileri izleyin temel Android güvenlik adımları.

• Ziyaret etmeyin ve ne yaparsanız yapın yapma şüpheli Web sitelerinden materyaller indirin. Porno siteleri özellikle tehlikelidir.
• Üçüncü taraf Android mağazalarından program indirmeyin.
• Yasal olduğundan ve yalnızca gerekli izinleri istediğinden emin olmak için herhangi bir programı yüklemeden önce dikkatlice inceleyin.
• Mümkünse Android'in en son sürümüne yükseltin.
• Yüksek kaliteli anti-virüs yazılımı kullanın. En yeniyi kontrol et Android güvenlik uygulamaları karşılaştırması en iyi anti-virüs seçeneğiniz için.

Peki bu delik nasıl açıldı? Bluebox'a göre her Android uygulamasının kendine özgü kriptografik kimliği vardır. Bu, kurumsal geliştiricinin kimliğini içeren bir genel anahtar altyapısı (PKI) sertifikası biçimindedir.

Şimdiye kadar, çok iyi. Bluebox şöyle açıkladı: "PKI standardının bir parçası olarak, bir kimlik sertifikasının başka bir kimlik sertifikası: çocuğu doğrulamak için bir ana sertifika ("verici") kullanılabilir Sertifika. Bir Android sisteminde, bir Android uygulamasını imzalamak için kullanılan dijital sertifikalar, uygulamanın gerçek paketi haline gelir Normal uygulama meta-veri API'leri [uygulama programlama] yoluyla diğer uygulamalar tarafından erişilebilen "imza" arayüzler]."

İşin zorlaştığı yer burası.

Bluebox'a göre bu uygulama imzası, "uygulamayı kimin güncelleyebileceğini, hangi uygulamaların verilerini paylaşabileceğini vb. belirler." Ve bazı "imzalara özel ayrıcalıklar tanınıyor" Bazı durumlarda." Örneğin, bazı imzalı uygulamalar bir web görünümü eklentisi gibi davranabilir, NFC donanımına erişime izin verebilir veya hatta "sessiz yönetime, yapılandırmaya ve kontrole izin verebilir" cihaz."

Bu hala sorun değil... Yeter ki imza sistemine güvenebilesiniz. Yapamayacağın ortaya çıktı. Bluebox, Android paket yükleyicisinin bir sertifika zincirinin orijinalliğini doğrulamaya çalışmadığını tespit etti.

Ah!

Dolayısıyla, kötü amaçlı yazılım yazan biri sahte dijital kimlik sertifikasına sahip bir uygulama oluşturursa Android bunun doğru olduğundan emin olmaya çalışmaz. gerçekten satıcıdan, sahte ihraççı imzasını gerçek geliştiricinin kamuya karşı kontrol ederek olduğunu iddia ediyor Sertifika.

Hata.

Yani sahte bir dijital kimlik sertifikasıyla saldırganın uygulaması, yasal uygulamanın özel ayrıcalıklarını kullanabilir. Daha da kötüsü, "birden fazla imzalayan kişi bir Android uygulamasını imzalayabilir (her imzalayan aynı uygulama parçalarını imzaladığı sürece). Bu, bir bilgisayar korsanının çoklu imza doğrulama ayrıcalığından yararlanarak aynı anda birden fazla sahte kimlik taşıyan tek bir kötü amaçlı uygulama oluşturmasına olanak tanır Kullanıcıya herhangi bir istem veya bildirim olmadan sanal alandan çıkma, güvenli ödemelerde kullanılan NFC donanımına erişme ve cihazın yönetim kontrolünü ele geçirme fırsatları sağlar. cihaz."

Sahte Kimlik saldırılarından kaçınmak için yukarıda özetlediğim adımları izleyin. Android'in daha eski bir sürümüne sahip bir cihazla karşılaşırsanız satıcınıza mümkün olan en kısa sürede bir düzeltme yayınlaması konusunda uyarıda bulunun. Doğada henüz hiç kimse bu güvenlik açığını kullanmamış olsa da birinin kullanması an meselesi.

İlgili Öyküler:

• Android akıllı telefon sıfırlama kişisel bilgilerinizi silmez
• Android güvenlik paketleri karşılaştırıldı
• Google, Android uygulamalarına güvenlik artırıcı bir atış sağlıyor
• iOS vs Android: Kuruluş için hangisi daha çok güvenlik tehdididir?
• Android kötü amaçlı yazılımlarından kaçınmanın beş basit yolu