Sertifikater spiller en viktig rolle for hvilken tilgang applikasjoner skal ha til spesielle systemressurser i Android. For eksempel vil de aller fleste applikasjoner pent måtte holde seg innenfor sandkassen de får lov til å kjøre i, men utvalgte applikasjoner gis tillatelse til tre ut av sandkassen for å få tilgang til data som tilhører andre applikasjoner eller til de mer sensitive delene av operativsystemet. For eksempel har Google Wallet tilgang til den NFC-relaterte maskinvare som prosesserer betalingsinformasjon.
I går kunngjorde sikkerhetsselskapet Bluebox at det finnes en betydelig svakhet i dette sertifikatsystemet.
Bluebox skriver at Androids pakkeinstallasjonsprogramvare ikke gjør noe forsøk på å verifisere autentisiteten til en sertifikatkjede. Det vil si at et identitet kan hevde å være utstedt av en annen identitet, uten av Androids kryptografiske kode vil sjekke gyldigheten av påstanden. Dette kan utnyttes av ondsinnede applikasjoner ved at de kan utstyres med falske identiteter som gir dem tilgang til å tre ut av sandkassen.
Sårbarheten berører ifølge Bluebox alle Android-utgaver siden Android 2.1, men den kanskje mest innlysende måten å utnytte sårbarheten ble fjernet da webview-funksjonaliteten ble basert på Chromium.
Bluebox går i langt større detalj her.
Sårbarheten kalles for Fake ID og må i utgangspunktet sies å være svært alvorlig, ikke minst med tanke på hvor lite ivrige mange leverandører av Android-enheter er med å rulle ut Android-oppdateringer til sine kunder.
Beskyttelse
Bluebox har vært ansvarlige og gitt Google beskjed om sårbarheten i god tid før offentliggjøringen. Og Google har gjort tiltak som vil beskytte svært mange av Android-brukerne mot utnyttelse av sårbarheten, også de som ikke får noen sikkerhetsoppdatering til operativsystemet i enheten.
– Vi setter på at Bluebox på en ansvarlig måte har rapportert denne sårbarheten til oss. Tredjeparts forskning er én av måtene Android blir gjort sterkere på for brukerne. Etter å ha hørt om denne sårbarhetene, utga vi raskt en patch som ble distribuert til Android-partnere og til AOSP (Android Open Source Project, journ. anm.). Google Play og Verify Apps har også blitt forbedret for å beskytte brukerne mot dette problemet. Vi har til nå skannet alle applikasjoner som er forelagt Google Play, samt de som Google har vurdert fra utsiden av Google Play. Vi har ikke sett bevis på forsøkt utnyttelse av denne sårbarheten, skriver Google i en uttalelse til Ars Technica.
I praksis betyr dette at alle vanlige Android-enheter, altså de som benytter Google Play og tilhørende tjenester, er sikret mot utnyttelse av sårbarheten. Det gjelder også dersom de omgår sikkerhetsinnstillingene og skrur på muligheten for å installere applikasjoner fra ukjente kilder. Verify App-funksjonen skanner kontinuerlig enheten for å se etter mistenkelig atferd og skal kunne oppdage forsøk på å utnytte Fake ID-sårbarheten.
Verify App er en del av Google Play Service som er installert på alle offisielle Android-enheter med versjon 2.3 eller nyere av operativsystemet.
Det er dog mulig å deaktivere Verify App på Android-enhetene. Da skrur man av denne beskyttelsen og kan bli berørt. I eldre Android-utgaver finnes innstillingen for dette i Google Settings-applikasjonen, men fra Android 4.2 ble innstillingen flyttet over i de vanlige sikkerhetsinnstillingene til operativsystemet.
Android-enheter som ikke benytter Google Play, vil derimot kunne være i faresonen dersom leverandøren ikke har tatt i bruk sikkerhetsfiksen som Google har laget, eller implementert andre måter som sikrer mot utnyttelse av sårbarheten. Android-baserte produkter fra Amazon og Nokia er blant dem som er mest omtalt her til lands, men det finnes en rekke mindre leverandører som tilbyr Android-enheter uten Google Play-støtte i blant annet Kina.
Bluebox tilbyr en applikasjon, Bluebox Security Scanner, som kan fortelle brukeren om enheten er berørt av sårbarheten. Den opplyser at sårbarheten finnes på en helt oppdatert Nexus 5-enhet. Men skanneren er tilsynelatende bare tilgjengelig via Google Play.
Leave a Reply