Huis Securitywatch Android-hoofdsleutelprobleem geen risico als je je aan Google Play houdt

Android-hoofdsleutelprobleem geen risico als je je aan Google Play houdt

Video: Google Play: полезные советы. Как обновлять приложения для Android (December 2024)

Video: Google Play: полезные советы. Как обновлять приложения для Android (December 2024)
Anonim

Door een kwetsbaarheid in het Android-besturingssysteem kunnen aanvallers een bestaande app gebruiken, schadelijke code injecteren en deze op een zodanige manier opnieuw verpakken dat deze zich kan voordoen als de originele app. Moet je je zorgen maken?

Onderzoekers van Bluebox Security ontdekten de fout in de manier waarop cryptografische handtekeningen voor apps worden geverifieerd, Jeff Forristal, CTO van Bluebox, schreef op de bedrijfsblog 3 juli. Dit betekent dat aanvallers de app kunnen wijzigen zonder de cryptografische handtekening te wijzigen, zei Forristal.

De fout bestaat al sinds Android 1.6 ("Donut") en maakte "99 procent" van de apparaten of "elke Android-telefoon die in de afgelopen vier jaar is uitgebracht" kwetsbaar voor aanvallen, beweerde Forristal.

Het enge scenario gaat ongeveer zo: een legitieme app (bijvoorbeeld een Google-app) is aangepast om wachtwoorden te stelen of het apparaat te verbinden met een botnet en vrijgegeven voor gebruikers om te downloaden. Omdat beide apps dezelfde digitale handtekening hebben, is het voor gebruikers moeilijk om te weten wat echt is en wat nep.

Nou niet echt.

Ben ik in gevaar?

Google heeft Google Play bijgewerkt, zodat er controles zijn om kwaadaardige apps te blokkeren die deze exploit gebruiken om zich voor te doen als een andere app.

Als u apps en updates van Google Play installeert, loopt u geen risico door dit misbruik, aangezien Google stappen heeft ondernomen om de app-markt te beveiligen. Als u apps van externe marktplaatsen downloadt, zelfs semi-officiële apps zoals app-winkels van Samsung en Amazon, loopt u risico. Voorlopig kan het de moeite waard zijn om het gebruik van die marktplaatsen uit te stellen.

Google beveelt gebruikers aan weg te blijven van markten voor Android-apps van derden.

Wat kan ik anders doen?

Het is ook belangrijk om te onthouden dat je altijd moet kijken naar wie de ontwikkelaar is. Zelfs als een Trojanized-app het haalt via Google Play, of als u zich in een andere app store bevindt, wordt de app niet vermeld onder de oorspronkelijke ontwikkelaar. Als aanvallers Angry Birds bijvoorbeeld met dit beveiligingslek opnieuw inpakken, wordt de nieuwe versie niet vermeld onder het account van Rovio.

Als u zeker wilt weten dat u geen apps van externe bronnen kunt installeren, gaat u naar Instellingen> Beveiliging en zorgt u ervoor dat het selectievakje voor het installeren van apps van "onbekende bronnen" niet is aangevinkt.

Als u de nieuwste versie van Android hebt, wordt u ook beschermd door het ingebouwde app-scansysteem omdat het apps scant die afkomstig zijn van andere bronnen dan Google Play. Dat betekent dat zelfs als u per ongeluk een slechte app installeert, uw telefoon nog steeds de schadelijke code kan blokkeren.

Er zijn ook beveiligings-apps voor Android die schadelijk gedrag kunnen detecteren en u kunnen waarschuwen voor de aanstootgevende app. PCMag beveelt onze Keuze van de redactie Bitdefender Mobile Security aan.

Is een aanval waarschijnlijk?

"Alleen omdat de 'hoofdsleutel' nog niet is uitgebuit, wil nog niet zeggen dat we op onze lauweren kunnen rusten, " vertelde Grayson Milbourne, directeur veiligheidsinformatie bij Webroot, aan SecurityWatch . Mobiele beveiliging moet gaan over het beschermen van het apparaat van alle kanten: identiteitsbescherming om wachtwoorden en andere persoonlijke informatie te beschermen, malware en kwaadaardige apps te blokkeren en het apparaat te kunnen vinden als het verloren of gestolen is, zei Milbourne.

Bluebox meldde de fout al in februari bij Google en Google heeft al een patch naar zijn hardwarepartners in de Open Handset Alliance gepusht. Verschillende fabrikanten van handsets hebben al patches vrijgegeven om het probleem op te lossen. De providers moeten de fix nu naar hun eindgebruikers pushen.

"Het is aan apparaatfabrikanten om firmware-updates voor mobiele apparaten te produceren en vrij te geven (en bovendien voor gebruikers om deze updates te installeren), " zei Forristal. Bluebox is van plan om meer details te onthullen tijdens de Black Hat-conferentie eind deze maand in Las Vegas.

Pau Oliva Fora, een ingenieur bij mobiel beveiligingsbedrijf via Forensics, heeft op 8 juli een proof of concept geposteerd waarin de kwetsbaarheid werd misbruikt. Fora maakte het shellscript na het lezen van details van de bug van het Cyanogenmod-team. Cyanogenmod is een populaire versie van Android die gebruikers op hun apparaten kunnen installeren. Het team heeft de fout al hersteld.

Als u tot de gelukkigen behoort die een Android-update van uw provider ontvangen, zorg er dan voor dat u deze meteen downloadt en installeert. Zelfs als de risico's laag zijn, is het updaten van het besturingssysteem gewoon een goed beveiligingsgevoel.

Android-hoofdsleutelprobleem geen risico als je je aan Google Play houdt