Logo ja.androidermagazine.com
Logo ja.androidermagazine.com
» ソフトウェア
ソフトウェア

「偽のID」とAndroidセキュリティ[更新]

「偽のID」とAndroidセキュリティ[更新]

目次:

Anonim

今日、セキュリティ調査会社BlueBox(いわゆるAndroid「マスターキー」の脆弱性を発見した同じ会社)は、Androidがアプリケーションの署名に使用されるID証明書を処理する方法にバグの発見を発表しました。 BlueBoxが「Fake ID」と呼んでいるこの脆弱性により、悪意のあるアプリが正当なアプリからの証明書と関連付けられるため、アクセスしてはならないものにアクセスできるようになります。

このようなセキュリティの脆弱性は恐ろしく聞こえます。この話が壊れたため、すでに1つまたは2つの双曲線の見出しを見ています。 それにもかかわらず、アプリが想定外のことを実行できるバグは深刻な問題です。 それでは、一言で言えば何が起こっているのか、Androidセキュリティにとって何を意味するのか、そして心配する価値があるかどうかをまとめましょう…

更新:この記事を更新して、偽のIDのバグに対処するためにPlayストアと「アプリの検証」機能の両方が実際に更新されたというGoogleからの確認を反映しました。 これは、記事の後半で説明するように、アクティブなGoogle Androidデバイスの大部分がこの問題からある程度保護されていることを意味します。 Googleの全文は、この投稿の最後にあります。

問題-危険な証明書

「Fake ID」は、Androidパッケージインストーラーのバグに起因します。

BlueBoxによると、この脆弱性は、アプリのインストールを処理するOSの一部であるAndroidパッケージインストーラーの問題に起因しています。 パッケージインストーラーは、明らかにデジタル証明書の「チェーン」の真正性を適切に検証しないため、悪意のある証明書が信頼された当事者によって発行されたと主張することができます。 特定のデジタル署名が一部のデバイス機能への特権アクセスをアプリに提供するため、これは問題です。 たとえば、Android 2.2-4.3では、Adobeの署名が付いたアプリにwebviewコンテンツへの特別なアクセス権が付与されます。これは、誤用すると問題を引き起こす可能性があるAdobe Flashサポートの要件です。 同様に、NFCを介した安全な支払いに使用されるハードウェアへの特権アクセスを持つアプリの署名をスプーフィングすると、悪意のあるアプリが機密の財務情報を傍受する可能性があります。

さらに心配なことに、悪意のある証明書を使用して、3LMなどの特定のリモートデバイス管理ソフトウェアを偽装することもできます。このソフトウェアは、一部のメーカーによって使用され、デバイスの広範な制御を許可します。

BlueBoxの研究者であるJeff Foristallは次のように書いています。

「アプリケーションの署名は、Androidセキュリティモデルで重要な役割を果たします。アプリケーションの署名は、誰がアプリケーションを更新できるか、どのアプリケーションがそのデータを共有できるかなどを確立します。機能へのアクセスを制御するために使用される特定の権限は、許可の作成者と同じ署名。さらに興味深いことに、非常に具体的な署名には特定の場合に特別な特権が与えられます。」

Adobe / webviewの問題はAndroid 4.4には影響しませんが(webviewは同じAdobeフックを持たないChromiumに基づいているため)、基礎となるパッケージインストーラーのバグは、KitKatの一部のバージョンに引き続き影響しているようです。 Android Centralに 与えられた声明では、Googleは「この脆弱性の情報を受け取った後、AndroidパートナーとAndroidオープンソースプロジェクトに配布されたパッチをすぐに発行しました。」と述べました。

Googleは、「偽のID」が悪用されているという証拠はないと述べています。

BlueBoxによると4月にGoogleに通知されたため、Android 4.4.3には修正が含まれている可能性が高く、OEMからの4.4.2ベースのセキュリティパッチも含まれている可能性があります。 (このコードコミットを参照してください。AnantShrivastavaに感謝します。)BlueBox独自のアプリでの最初のテストでは、ヨーロッパのLG G3、Samsung Galaxy S5、HTC One M8はFake IDの影響を受けません。 主要なAndroid OEMに連絡して、更新された他のデバイスを確認しました。

Fake ID vulnの詳細については、Forristalは8月2日にラスベガスで開催されるBlack Hat Conferenceで詳細を明らかにすると述べています。声明で、GoogleはPlay Storeのすべてのアプリをスキャンし、他のアプリストアでは、このエクスプロイトが実世界で使用されている証拠は見つかりませんでした。

解決策-Google PlayでAndroidのバグを修正する

GoogleはPlay Servicesを通じて、アクティブなAndroidエコシステムのほとんどでこのバグを効果的に排除できます。

偽のIDは深刻なセキュリティ上の脆弱性であり、適切に標的を定めた場合、攻撃者が深刻な損害を与える可能性があります。 根本的なバグはAOSPで最近対処されたばかりであるため、Androidスマートフォンの大部分は攻撃に対してオープンであり、近い将来にそうであるように見えるかもしれません。 前に説明したように、10億ほどのアクティブなAndroidスマートフォンを更新するタスクは大きな課題であり、「フラグメンテーション」はAndroidのDNAに組み込まれている問題です。 しかし、Googleには、このようなセキュリティ問題に対処する際に使用する切り札があります- Google Play Services。

Play Servicesがファームウェアの更新を必要とせずに新しい機能とAPIを追加するように、セキュリティホールを塞ぐためにも使用できます。 しばらく前に、Googleはインストール前にアプリの悪意のあるコンテンツをスキャンする方法として、「アプリの確認」機能をGoogle Play Servicesに追加しました。 さらに、デフォルトでオンになっています。 Android 4.2以降では、[設定]> [セキュリティ]の下にあります。 古いバージョンでは、[Google設定]> [アプリの確認]にあります。 Sundar PichaiがGoogle I / O 2014で述べたように、アクティブユーザーの93%は最新バージョンのGoogle Playサービスを利用しています。 Android 4.0.4 Ice Cream Sandwichを実行している私たちの古いLG Optimus Vuでさえ、Play Servicesからの「アプリの検証」オプションがあり、マルウェアから身を守ります。

Googleは、この問題からユーザーを保護するために、「アプリの確認」機能とGoogle Playが更新されたことを Android Centralに 確認しました。 実際、このようなアプリレベルのセキュリティバグは、「アプリの検証」機能が対処するために設計されたものです。 これにより、最新バージョンのGoogle Play Servicesを実行しているデバイスへのFake IDの影響が大幅に制限されます。 すべての Androidデバイスが脆弱であるため、問題が公開される前にPlay Servicesを介してFake IDに対処するGoogleのアクションは事実上無効化されました知識。

バグに関する情報がBlack Hatで利用可能になると、詳細がわかります。 しかし、Googleのアプリ検証ツールとPlayストアはFake IDを使用してアプリをキャッチできるため、「2010年1月以降のすべてのAndroidユーザー」が危険にさらされているというBlueBoxの主張は誇張されているようです。 (確かに、Googleが承認していないバージョンのAndroidを搭載したデバイスを実行しているユーザーは、より厳しい状況に置かれています。)

Playサービスをゲートキーパーとして機能させることは一時的な解決策ですが、それは非常に効果的なものです。

とにかく、4月以降GoogleがFake IDを認識しているという事実により、このエクスプロイトを使用するアプリが将来Playストアに登場する可能性は非常に低くなります。 ほとんどのAndroidセキュリティの問題と同様に、Fake IDに対処する最も簡単で効果的な方法は、アプリの入手元を賢くすることです。

確かに、脆弱性が悪用されるのを防ぐことは、完全に排除することと同じではありません。 理想的な世界では、GoogleはすべてのAndroidデバイスに無線アップデートをプッシュし、Appleと同じように問題を永久に排除できるでしょう。 PlayサービスとPlayストアをゲートキーパーとして機能させることは一時的な解決策ですが、Androidエコシステムのサイズと広大な性質を考えると、非常に効果的なものです。

このような問題が浮き彫りになる傾向があるため、多くの製造業者がデバイス、特にあまり知られていないものに重要なセキュリティ更新をプッシュするのに時間がかかりすぎることは問題ありません。 しかし、何もないよりはましです。

特に技術に精通したAndroidユーザーの場合は、セキュリティの問題に注意することが重要です。普通の人は、電話に問題が発生したときに助けを求めます。 しかし、物事を視野に入れておくのも良い考えです。重要なのは脆弱性だけでなく、可能な攻撃ベクトルであることも忘れないでください。 Googleが管理するエコシステムの場合、PlayストアとPlayサービスは、Googleがマルウェアを処理できる2つの強力なツールです。

だから、安全を保ち、スマートになってください。 主要なAndroid OEMからのFake IDに関する詳細情報を投稿します。

更新: Googleの広報担当者は Android Central に次の声明を提供しました。

「Blueboxは責任を持ってこの脆弱性を報告してくれて感謝しています。サードパーティの調査は、Androidがユーザーのために強化される方法の1つです。この脆弱性の言葉を受けて、AndroidパートナーとAOSPに配布されたパッチをすぐに発行しましたGoogle PlayおよびVerify Appsも強化され、この問題からユーザーを保護しています。現時点では、Google Playに送信されたすべてのアプリケーションと、Google Playの外部からGoogleがレビューしたアプリケーションをスキャンしました。この脆弱性の悪用。」

ソニーはまた、Fake IDの修正をデバイスにプッシュする作業をしていると語っています。

ソフトウェア

エディタの選択