'가짜 ID'및 Android 보안 [업데이트 됨]

오늘날 보안 연구 회사 인 BlueBox는 소위 Android "마스터 키"취약점을 발견 한 회사로, Android가 애플리케이션 서명에 사용되는 ID 인증서를 처리하는 방식에서 버그가 발견되었다고 발표했습니다. BlueBox에서 "Fake ID"라고 불렀던이 취약점으로 인해 악의적 인 앱이 합법적 인 앱의 인증서와 자신을 연결하여 액세스해서는 안되는 항목에 액세스 할 수 있습니다.

이 같은 보안 취약점은 무섭고, 이 이야기가 깨짐에 따라 오늘날 하나 또는 두 개의 쌍곡선 헤드 라인을 보았습니다. 그럼에도 불구하고 앱이 의도하지 않은 작업을 수행하게하는 버그는 심각한 문제입니다. 간단히 말해서 무슨 일이 일어나고 있는지, 안드로이드 보안의 의미와 걱정할만한 가치가 있는지 요약 해 보겠습니다.

업데이트: Google은 Play 스토어 및 '앱 확인'기능이 모두 가짜 ID 버그를 해결하기 위해 업데이트되었다는 Google의 확인을 반영하여이 도움말을 업데이트했습니다. 이는 대부분의 활성 Google Android 기기가이 기사의 뒷부분에서 설명하는 것처럼 이미이 문제로부터 보호하고 있음을 의미합니다. 이 글의 끝 부분에서 Google의 전체 내용을 확인할 수 있습니다.

문제 - Dodgy 인증서

'가짜 ID'는 Android 패키지 설치 프로그램의 버그에서 비롯됩니다.

BlueBox에 따르면이 취약점은 앱 설치를 처리하는 OS의 일부인 Android 패키지 설치 프로그램의 문제에서 발생합니다. 패키지 설치 관리자가 디지털 인증서 "체인"의 진위를 제대로 확인하지 못하여 악의적 인 인증서가 신뢰할 수있는 당사자가 발급했다고 주장 할 수 있습니다. 특정 디지털 서명은 앱에 일부 장치 기능에 대한 특권 액세스를 제공하기 때문에 문제가됩니다. 예를 들어, Android 2.2-4.3을 사용하면 Adobe의 서명이 포함 된 앱에는 웹뷰 컨텐츠에 대한 특별 액세스 권한이 부여됩니다. 이는 잘못 사용하는 경우 문제를 일으킬 수있는 Adobe Flash 지원 요구 사항입니다. 마찬가지로 NFC를 통한 안전한 지불에 사용되는 하드웨어에 대한 액세스 권한이있는 앱의 서명을 스푸핑하면 악성 앱이 민감한 재무 정보를 가로 챌 수 있습니다.

더 걱정스럽게도 일부 인증서는 3LM과 같은 특정 원격 장치 관리 소프트웨어를 가장하는 데 악의적 인 인증서를 사용하여 장치를 광범위하게 제어 할 수 있습니다.

BlueBox 연구원 인 Jeff Foristall은 다음과 같이 말합니다.

"응용 프로그램 서명은 Android 보안 모델에서 중요한 역할을합니다. 응용 프로그램의 서명은 응용 프로그램을 업데이트 할 수있는 사람, 데이터를 공유 할 수있는 응용 프로그램 등을 설정합니다. 기능에 대한 액세스를 게이트하는 데 사용되는 특정 권한은 응용 프로그램을 사용할 수있는 응용 프로그램에서만 사용할 수 있습니다. 더 흥미롭게도 매우 구체적인 서명은 특정 경우에 특별한 권한이 부여됩니다."

Adobe / webview 문제는 Android 4.4에 영향을 미치지 않지만 (웹뷰는 현재 동일한 Adobe 후크가없는 Chromium을 기반으로하기 때문에) 기본 패키지 설치 프로그램 버그는 일부 KitKat 버전에 계속 영향을 미칩니다. Android Central에 대한 성명에서 Google은 "이 취약점에 대한 소식을받은 후 Android 파트너 및 Android 오픈 소스 프로젝트에 배포 된 패치를 신속하게 발표했습니다."라고 말했습니다.

구글은 '가짜 ID'가 악용되고 있다는 증거는 없다고 밝혔다.

BlueBox가 4 월에 Google에 통보했다고 말하면 Android 4.4.3 및 OEM의 4.4.2 기반 보안 패치에 수정 사항이 포함될 수 있습니다. (Anant Shrivastava 덕분에이 코드 커밋을 참조하십시오.) BlueBox의 자체 앱을 사용한 초기 테스트 결과 유럽 LG G3, Samsung Galaxy S5 및 HTC One M8은 Fake ID의 영향을받지 않습니다. Google은 주요 Android OEM에 연락하여 업데이트 된 다른 기기를 확인했습니다.

Forristal은 8 월 2 일 라스 베이거스에서 열린 Black Hat Conference에서 Fake ID 취약점의 구체적인 내용을 공개 할 것이라고 밝혔습니다. 다른 앱 스토어에서 악용이 실제 세계에서 사용되고 있다는 증거를 찾지 못했습니다.

솔루션 - Google Play에서 Android 버그 수정

Google은 Play 서비스를 통해 대부분의 활성 Android 에코 시스템에서이 버그를 효과적으로 제거 할 수 있습니다.

가짜 ID는 공격자가 심각한 피해를 입힐 수있는 심각한 보안 취약점입니다. 근본 버그는 최근 AOSP에서만 해결되었으므로 대부분의 Android 전화가 공격에 노출 될 것으로 예상되며 가까운 시일 내에 계속 유지 될 것입니다. 앞서 논의한 것처럼 10 억 대 이상의 활성화 된 Android 폰을 업데이트하는 작업은 엄청난 도전이며 "조각화"는 Android의 DNA에 내장 된 문제입니다. 그러나 Google은 이와 같은 보안 문제 (Google Play 서비스)를 다룰 때 사용할 수있는 트럼프 카드를 가지고 있습니다.

Play 서비스가 펌웨어 업데이트없이 새로운 기능과 API를 추가하는 것처럼 보안 허점을 막는 데 사용될 수도 있습니다. 얼마 전에 Google은 앱을 설치하기 전에 악성 콘텐츠가 있는지 앱을 검사하는 방법으로 Google Play 서비스에 '앱 확인'기능을 추가했습니다. 또한 기본적으로 켜져 있습니다. Android 4.2 이상에서는 설정> 보안에 있습니다. 이전 버전의 경우 Google 설정> 앱 확인에서 찾을 수 있습니다. Sundar Pichai가 Google I / O 2014에서 말했듯이 활성 사용자의 93 %가 최신 버전의 Google Play 서비스를 사용하고 있습니다. Android 4.0.4 Ice Cream Sandwich를 실행하는 고대 LG Optimus Vu조차도 맬웨어로부터 보호하기 위해 Play 서비스의 "앱 확인"옵션을 가지고 있습니다.

Google은 Android Central 에 '앱 확인'기능과 Google Play가이 문제로부터 사용자를 보호하도록 업데이트되었음을 ​​확인했습니다. 실제로 이와 같은 앱 수준 보안 버그는 "앱 확인"기능이 처리하도록 설계된 것입니다. 이는 최신 버전의 Google Play 서비스를 실행하는 모든 기기에서 Fake ID의 영향을 크게 제한합니다. 모든 Android 기기가 취약한 경우가 아니라 문제가 공개되기 전에 Play 서비스를 통해 Fake ID를 해결하는 Google의 조치 지식.

버그에 대한 정보가 Black Hat에서 제공 될 때 더 많은 정보를 얻을 수 있습니다. 그러나 구글의 앱 검증기와 Play 스토어는 Fake ID를 사용하여 앱을 잡을 수 있기 때문에 "2010 년 1 월 이후의 모든 안드로이드 사용자"가 위험에 처해 있다고 BlueBox의 주장은 과장된 것 같습니다. (물론 구글이 승인하지 않은 안드로이드 버전의 기기를 사용하는 사용자는 더 어려운 상황에 처하게된다)

Play Services가 게이트 키퍼 역할을하도록하는 것은 스톱 갭 솔루션이지만 매우 효과적입니다.

그럼에도 불구하고 Google이 4 월 이후 Fake ID를 알고 있다는 사실 때문에이 익스플로잇을 사용하는 모든 앱이 향후 Play 스토어에이를 가능성이 거의 없습니다. 대부분의 Android 보안 문제와 마찬가지로 Fake ID를 처리하는 가장 쉽고 효과적인 방법은 앱을 어디에서 가져 오는지를 현명하게하는 것입니다.

확실히, 취약점이 악용되는 것을 막는 것은 완전히 제거하는 것과는 다릅니다. 이상적인 세계에서 Google은 Apple과 마찬가지로 무선 업데이트를 모든 Android 기기에 적용하고 문제를 영원히 제거 할 수 있습니다. Play Services와 Play Store가 게이트 키퍼 역할을하도록하는 것은 스톱 갭 솔루션이지만 Android 생태계의 규모와 규모가 크면 매우 효과적입니다.

이와 같은 문제가 강조되는 경향이 있기 때문에 많은 제조업체가 여전히 중요한 보안 업데이트를 장치, 특히 덜 알려진 장치에 푸시하는 데 시간이 너무 오래 걸리는 것은 아닙니다. 그러나 그것은 아무것도 아닌 것보다 훨씬 낫습니다.

보안 문제, 특히 기술에 정통한 Android 사용자 인 경우 일반 사용자가 휴대 전화에 문제가 발생했을 때 도움을 요청하는 사람과 같은 보안 문제를 알고 있어야합니다. 그러나 사물을 관점으로 유지하는 것도 좋은 생각이며, 중요한 취약점뿐만 아니라 가능한 공격 경로이기도합니다. Google이 통제하는 생태계의 경우 Play 스토어와 Play 서비스는 Google이 맬웨어를 처리 할 수있는 강력한 도구입니다.

안전을 유지하고 현명합니다. 주요 Android OEM의 Fake ID에 대한 추가 정보를 계속 게시합니다.

업데이트: Google 대변인은 Android Central 에 다음 진술을 제공했습니다.

"우리는 Bluebox가이 취약점을 책임감있게보고 해 주셔서 감사합니다. 제 3 자 조사는 사용자가 Android를 더 강력하게 만드는 방법 중 하나입니다.이 취약점에 대한 말을들은 후, Android 파트너 및 AOSP에 배포 된 패치를 신속하게 발표했습니다. 이 문제로부터 사용자를 보호하기 위해 Google Play 및 앱 확인 기능도 개선되었습니다. 현재 Google은 Google Play 외부에서 검토 한 애플리케이션뿐만 아니라 Google Play에 제출 된 모든 애플리케이션을 스캔했으며 시도한 증거가 없습니다. "이 취약점 악용."

소니는 또한 Fake ID 수정 프로그램을 기기에 적용하고 있다고 밝혔다.