!['รหัสปลอม' และความปลอดภัยของ Android [อัพเดท]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "'รหัสปลอม' และความปลอดภัยของ Android [อัพเดท]")
สารบัญ:
ปัจจุบัน บริษัท วิจัยความปลอดภัย BlueBox ซึ่งเป็น บริษัท เดียวกับที่ค้นพบช่องโหว่ "Android Key" ของ Android ได้ประกาศการค้นพบข้อผิดพลาดในวิธีที่ Android จัดการกับใบรับรองประจำตัวที่ใช้ในการลงชื่อสมัครใช้งาน ช่องโหว่ที่ BlueBox เรียกว่า "Fake ID" ทำให้แอปที่เป็นอันตรายสามารถเชื่อมโยงตัวเองกับใบรับรองจากแอพที่ถูกต้องตามกฎหมายดังนั้นจึงสามารถเข้าถึงสิ่งที่พวกเขาไม่ควรเข้าถึง
ช่องโหว่ด้านความปลอดภัยเช่นเสียงที่น่ากลัวนี้และเราได้เห็นหัวข้อข่าวเกินความจริงหนึ่งหรือสองเรื่องแล้วในวันนี้เนื่องจากเรื่องราวนี้พัง อย่างไรก็ตามข้อผิดพลาดใด ๆ ที่ทำให้แอพทำสิ่งที่ไม่ควรเป็นปัญหาร้ายแรง ดังนั้นมาสรุปสิ่งที่เกิดขึ้นโดยสรุปความหมายของความปลอดภัยของ Android และความคุ้มค่าที่ต้องกังวลเกี่ยวกับ …
อัปเดต: เราได้อัปเดตบทความนี้เพื่อสะท้อนการยืนยันจาก Google ว่าทั้งฟีเจอร์ Play Store และ "ยืนยันแอพ" ได้รับการอัปเดตเพื่อแก้ไขข้อผิดพลาด Fake ID ซึ่งหมายความว่าอุปกรณ์ Google Android ที่ใช้งานอยู่ส่วนใหญ่มีการป้องกันบางอย่างจากปัญหานี้ตามที่กล่าวไว้ในบทความ คำสั่งของ Google ในแบบเต็มสามารถพบได้ในตอนท้ายของโพสต์นี้
ปัญหา - ซึ่งหลบใบรับรอง
'Fake ID' เกิดจากข้อผิดพลาดในตัวติดตั้งแพ็คเกจ Android
ช่องโหว่ดังกล่าวเกิดจากปัญหาในตัวติดตั้งแพ็คเกจ Android ซึ่งเป็นส่วนหนึ่งของระบบปฏิบัติการที่จัดการติดตั้งแอพ เห็นได้ชัดว่าตัวติดตั้งแพ็คเกจไม่ได้ตรวจสอบความถูกต้องของ "เครือข่าย" ของใบรับรองดิจิทัลอย่างถูกต้องซึ่งจะช่วยให้ใบรับรองที่เป็นอันตรายสามารถอ้างสิทธิ์ได้ว่าเป็นบุคคลที่เชื่อถือได้ นั่นเป็นปัญหาเนื่องจากลายเซ็นดิจิทัลบางอย่างทำให้แอปมีสิทธิ์เข้าถึงฟังก์ชั่นอุปกรณ์บางอย่าง ยกตัวอย่างเช่น Android 2.2-4.3 แอพที่มีลายเซ็นของ Adobe จะได้รับการเข้าถึงเป็นพิเศษในเนื้อหาเว็บวิว - ข้อกำหนดสำหรับการสนับสนุน Adobe Flash ว่าหากใช้ผิดอาจทำให้เกิดปัญหาได้ ในทำนองเดียวกันการปลอมแปลงลายเซ็นของแอพที่มีสิทธิ์การเข้าถึงฮาร์ดแวร์ที่ใช้สำหรับการชำระเงินที่ปลอดภัยผ่าน NFC อาจทำให้แอปที่เป็นอันตรายขัดขวางข้อมูลทางการเงินที่ละเอียดอ่อน
ยิ่งไปกว่านั้นใบรับรองที่เป็นอันตรายอาจถูกใช้เพื่อเลียนแบบซอฟต์แวร์การจัดการอุปกรณ์ระยะไกลเช่น 3LM ซึ่งผู้ผลิตบางรายใช้และให้การควบคุมอุปกรณ์อย่างกว้างขวาง
ตามที่นักวิจัย BlueBox Jeff Foristall เขียนไว้:
"ลายเซ็นของแอปพลิเคชันมีบทบาทสำคัญในรูปแบบความปลอดภัยของ Android ลายเซ็นของแอปพลิเคชันกำหนดว่าใครสามารถอัปเดตแอปพลิเคชันแอปพลิเคชันใดบ้างที่สามารถแบ่งปันข้อมูลได้ ฯลฯ สิทธิ์บางอย่างที่ใช้ในการเข้าถึงการทำงาน ลายเซ็นเดียวกับผู้สร้างการอนุญาตที่น่าสนใจยิ่งไปกว่านั้นลายเซ็นที่เจาะจงมากนั้นจะได้รับสิทธิพิเศษในบางกรณี"
ในขณะที่ปัญหา Adobe / webview ไม่ส่งผลกระทบต่อ Android 4.4 (เนื่องจากขณะนี้ webview มีพื้นฐานมาจาก Chromium ซึ่งไม่มี Adobe hooks ที่เหมือนกัน) แต่ข้อผิดพลาดของตัวติดตั้งแพ็คเกจพื้นฐานยังคงส่งผลกระทบต่อ KitKat บางรุ่น ในแถลงการณ์ที่มอบให้แก่ Android Central Google กล่าวว่า "หลังจากได้รับคำพูดถึงช่องโหว่นี้เราได้ออก patch ที่แจกจ่ายให้กับพันธมิตร Android และโครงการ Android Open Source อย่างรวดเร็ว"
Google กล่าวว่าไม่มีหลักฐาน 'Fake ID' กำลังถูกใช้งานในป่า
เนื่องจาก BlueBox บอกว่าได้แจ้งให้ Google ทราบในเดือนเมษายนมีแนวโน้มว่าการแก้ไขใด ๆ จะรวมอยู่ใน Android 4.4.3 และอาจเป็นไปได้ว่ามีโปรแกรมแก้ไขความปลอดภัยที่ใช้ 4.4.2 จาก OEM (ดูรหัสนี้ส่ง - ขอบคุณอนันต์ชวาสตาวา) การทดสอบครั้งแรกกับแอปของ BlueBox แสดงให้เห็นว่า LG G3, Samsung Galaxy S5 และ HTC One M8 ในยุโรปจะไม่ได้รับผลกระทบจาก Fake ID เราได้เข้าถึงกลุ่ม OEM Android รายใหญ่เพื่อค้นหาว่าอุปกรณ์อื่นใดที่ได้รับการอัปเดต
สำหรับข้อมูลเฉพาะของ Fake ID vuln, Forristal กล่าวว่าเขาจะเปิดเผยเพิ่มเติมเกี่ยวกับการประชุม Black Hat ในลาสเวกัสเมื่อวันที่ 2 สิงหาคมในคำแถลง Google กล่าวว่าได้สแกนแอปทั้งหมดใน Play Store และบางโฮสต์ ในร้านค้าแอพอื่น ๆ และไม่พบหลักฐานว่ามีการใช้ช่องโหว่ดังกล่าวในโลกแห่งความเป็นจริง
The solution - แก้ไขบั๊ก Android ด้วย Google Play
ผ่านบริการ Play, Google สามารถแก้ไขข้อผิดพลาดนี้ได้อย่างมีประสิทธิภาพในระบบนิเวศ Android ที่ใช้งานส่วนใหญ่
Fake ID เป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรงหากการกำหนดเป้าหมายอย่างถูกต้องอาจทำให้ผู้โจมตีสามารถทำความเสียหายร้ายแรงได้ และเนื่องจากข้อผิดพลาดพื้นฐานเพิ่งได้รับการแก้ไขใน AOSP เมื่อไม่นานมานี้อาจปรากฏว่าโทรศัพท์ Android ส่วนใหญ่เปิดรับการโจมตีและจะยังคงเป็นเช่นนั้นในอนาคตอันใกล้ ดังที่เราได้พูดคุยกันก่อนหน้านี้งานที่ได้รับการอัพเดทโทรศัพท์ Android ที่ใช้งานเป็นพันล้านหรือมากกว่านั้นเป็นความท้าทายอย่างมากและ "การแยกส่วน" เป็นปัญหาที่สร้างขึ้นใน DNA ของ Android แต่ Google มีการ์ดทรัมป์ที่จะเล่นเมื่อจัดการกับปัญหาด้านความปลอดภัยเช่นนี้ - บริการ Google Play
เช่นเดียวกับ Play Services ที่เพิ่มคุณสมบัติใหม่และ API โดยไม่จำเป็นต้องมีการอัปเดตเฟิร์มแวร์มันยังสามารถใช้เพื่อเสียบช่องโหว่ความปลอดภัย เมื่อไม่นานมานี้ Google ได้เพิ่มฟีเจอร์ "ยืนยันแอพ" ลงในบริการ Google Play เพื่อสแกนหาเนื้อหาที่เป็นอันตรายก่อนที่จะทำการติดตั้งแอพ ยิ่งไปกว่านั้นมันจะเปิดตามค่าเริ่มต้น ใน Android 4.2 ขึ้นไปจะอยู่ภายใต้การตั้งค่า> ความปลอดภัย; ในเวอร์ชันที่เก่ากว่าคุณจะพบได้ในการตั้งค่า Google> ยืนยันแอพ ดังที่ Sundar Pichai กล่าวไว้ที่ Google I / O 2014 ผู้ใช้ที่ใช้งาน 93% อยู่ในบริการ Google Play เวอร์ชันล่าสุด แม้แต่ LG Optimus Vu โบราณของเราที่ใช้ Android 4.0.4 Ice Cream Sandwich ก็มีตัวเลือก "ยืนยันแอพ" จาก Play Services เพื่อป้องกันมัลแวร์
Google ยืนยันกับ Android Central แล้ว ว่าคุณลักษณะ "ยืนยันแอพ" และ Google Play ได้รับการอัปเดตเพื่อปกป้องผู้ใช้จากปัญหานี้ ที่จริงแล้วข้อผิดพลาดด้านความปลอดภัยระดับแอปเช่นนี้เป็นคุณสมบัติที่ "ยืนยันแอพ" ได้รับการออกแบบมาเพื่อจัดการกับ นี่เป็นการ จำกัด ผลกระทบของ Fake ID บนอุปกรณ์ใด ๆ ที่ใช้บริการ Google Play เวอร์ชันล่าสุด - ไกลจากอุปกรณ์ Android ทั้งหมดที่ มีความเสี่ยง ความรู้
เราจะหาข้อมูลเพิ่มเติมเมื่อมีข้อมูลเกี่ยวกับข้อผิดพลาดที่ Black Hat แต่เนื่องจากตัวตรวจสอบแอปของ Google และ Play Store สามารถจับแอปได้โดยใช้ Fake ID BlueBox อ้างว่า "ผู้ใช้ Android ทุกคนตั้งแต่เดือนมกราคม 2010" มีความเสี่ยงสูงเกินจริง (แม้ว่าจะเป็นที่ยอมรับ แต่ผู้ใช้ที่ใช้อุปกรณ์ที่ใช้ Android รุ่นที่ไม่ได้รับการอนุมัติจาก Google นั้นจะต้องอยู่ในสถานการณ์ที่ติดหนึบ)
การให้ Play Services ทำหน้าที่เป็นผู้รักษาประตูเป็นวิธีแก้ปัญหาชั่วคราว แต่เป็นวิธีที่มีประสิทธิภาพ
โดยไม่คำนึงถึงความจริงที่ว่า Google ได้รับรู้ถึง Fake ID ตั้งแต่เดือนเมษายนทำให้ไม่น่าเป็นไปได้สูงที่แอพใด ๆ ที่ใช้การโกงนี้จะเข้าสู่ Play Store ในอนาคต เช่นเดียวกับปัญหาด้านความปลอดภัยของ Android ส่วนใหญ่วิธีที่ง่ายและมีประสิทธิภาพที่สุดในการจัดการกับ Fake ID คือการใช้ความฉลาดในการรับแอพของคุณ
แน่นอนว่าการหยุดช่องโหว่จากการถูกโจมตีนั้นไม่เหมือนกับการกำจัดช่องโหว่ทั้งหมด ในโลกอุดมคติ Google จะสามารถผลักดันการอัพเดทแบบ over-the-air ไปยังอุปกรณ์ Android ทุกเครื่องและกำจัดปัญหานี้ตลอดไปเช่นเดียวกับที่ Apple ทำ การให้ Play Services และ Play Store ทำหน้าที่เป็น gatekeepers เป็นวิธีแก้ปัญหาชั่วคราว แต่ด้วยขนาดและลักษณะที่แผ่ขยายของระบบนิเวศ Android มันจึงมีประสิทธิภาพ
ไม่เป็นไรที่ผู้ผลิตหลายรายยังคงใช้เวลานานเกินไปในการผลักดันการอัปเดตความปลอดภัยที่สำคัญไปยังอุปกรณ์ต่างๆโดยเฉพาะอย่างยิ่งที่รู้จักกันน้อยกว่าเนื่องจากปัญหาเช่นนี้มักจะเน้น แต่มันก็ดีกว่าไม่มีอะไรมาก
เป็นเรื่องสำคัญที่คุณจะต้องตระหนักถึงปัญหาด้านความปลอดภัยโดยเฉพาะอย่างยิ่งหากคุณเป็นผู้ใช้ Android ที่มีความชำนาญด้านเทคโนโลยี - ประเภทของคนทั่วไปที่หันไปขอความช่วยเหลือเมื่อมีสิ่งผิดปกติเกิดขึ้นกับโทรศัพท์ของพวกเขา แต่มันก็เป็นความคิดที่ดีที่จะเก็บมุมมองและจำไว้ว่าไม่ใช่แค่ช่องโหว่ที่สำคัญ แต่ยังเป็นช่องโหว่ของเวคเตอร์ ในกรณีของระบบนิเวศที่ควบคุมโดย Google Play Store และ Play Services เป็นเครื่องมือที่ทรงพลังสองตัวที่ Google สามารถจัดการกับมัลแวร์ได้
ดังนั้นอยู่อย่างปลอดภัยและอยู่อย่างชาญฉลาด เราจะแจ้งให้คุณทราบเมื่อมีข้อมูลเพิ่มเติมเกี่ยวกับ Fake ID จาก Android OEM รายใหญ่
อัปเดต: โฆษกของ Google ได้จัดทำงบ Android ต่อไปนี้:
"เราขอขอบคุณ Bluebox ที่รายงานช่องโหว่นี้อย่างมีความรับผิดชอบต่อเราการวิจัยของบุคคลที่สามเป็นหนึ่งในวิธีที่ Android สร้างความแข็งแกร่งให้กับผู้ใช้หลังจากได้รับการกล่าวถึงช่องโหว่นี้เราได้เผยแพร่ patch ที่เผยแพร่สู่พันธมิตร Android อย่างรวดเร็ว. Google Play และตรวจสอบแอพได้รับการปรับปรุงเพื่อปกป้องผู้ใช้จากปัญหานี้ในขณะนี้เราได้สแกนแอปพลิเคชันทั้งหมดที่ส่งไปยัง Google Play รวมถึงแอพที่ Google ได้ตรวจสอบจากนอก Google Play และเราไม่พบหลักฐานใด ๆ การเอารัดเอาเปรียบช่องโหว่นี้"
Sony ยังบอกเราด้วยว่ากำลังทำงานเพื่อผลักดันการแก้ไขรหัสปลอมไปยังอุปกรณ์ของตน
