Video: attributietheorie en fundamentele attributiefout (November 2024)
Een van de beste dingen van mobiele besturingssystemen is sandboxing. Deze techniek verdeelt applicaties in compartimenten, waardoor wordt voorkomen dat risicovolle apps (of welke app dan ook) je Android de vrije loop kunnen laten. Maar een nieuwe kwetsbaarheid kan betekenen dat de sandbox van Android niet zo sterk is als we dachten.
Wat is het?
Bij Black Hat liet Jeff Forristal zien hoe een fout in de manier waarop Android omgaat met certificaten kan worden gebruikt om aan de sandbox te ontsnappen. Het zou zelfs kunnen worden gebruikt om kwaadaardige apps hogere privileges te geven, allemaal zonder slachtoffers een idee te geven van wat er gaande is in hun telefoon. Forristal zei dat dit beveiligingslek kan worden gebruikt om gegevens en wachtwoorden te stelen en zelfs volledige controle over meerdere apps te krijgen.
De kern van uitgifte is certificaten, die in feite kleine cryptografische documenten zijn die bedoeld zijn om ervoor te zorgen dat een app is wat het beweert te zijn. Forristal legde uit dat het exact dezelfde technologie is die websites gebruiken om authenticiteit te waarborgen. Maar Android, zo blijkt, onderzoekt de cryptografische relaties tussen certificaten niet. Deze fout, zei Forristal, is "behoorlijk fundamenteel voor het Android-beveiligingssysteem."
Wat het doet
In zijn demonstratie gebruikte Forristal een nep-Google Services-update die kwaadaardige code bevatte met behulp van een van de Fake ID-kwetsbaarheden. Wanneer het slachtoffer de app gaat installeren, ziet hij dat de app geen machtigingen vereist en legitiem lijkt. Android voert de installatie uit en alles lijkt in orde te zijn.
Maar op de achtergrond heeft de app van Forristal een Fake ID-kwetsbaarheid gebruikt om automatisch en onmiddellijk schadelijke code in andere apps op het apparaat te injecteren. In het bijzonder, een Adobe-certificaat voor het bijwerken van Flash waarvan de informatie hardcoded is in Android. Binnen enkele seconden had hij controle over vijf apps op het apparaat - waarvan sommige diepe toegang hadden tot het apparaat van het slachtoffer.
Dit is niet de eerste keer dat Forristal een rommeltje maakt met Android. In 2013 schrok Forristal van de Android-gemeenschap toen hij de zogenaamde Master Key-exploit onthulde. Deze wijdverspreide kwetsbaarheid betekende dat nep-apps konden worden vermomd als legitieme apps, waardoor kwaadwillende apps mogelijk een gratis pas krijgen.
Controleer ID
De presentatie van Forristal gaf ons niet alleen het eye-opening nieuws over Android, het gaf ons ook een hulpmiddel om onze enkels te beschermen. Forristal heeft een gratis scantool uitgebracht om dit beveiligingslek te detecteren. Dat betekent natuurlijk nog steeds dat mensen moeten voorkomen dat malware op hun telefoons komt.
De bug is ook gemeld bij Google en er verschijnen blijkbaar patches op verschillende niveaus.
Wat nog belangrijker is, de hele aanval hangt af van het slachtoffer dat de app installeert. Toegegeven, het heeft niet de rode vlag van het vragen om veel rechten, maar Forristal zei dat als gebruikers apps uit "schaduwrijke plaatsen" vermijden (lees: buiten Google Play), ze veilig zullen zijn. Tenminste voor nu.
