'Identificación falsa' y seguridad de Android [actualizado]

Hoy, la firma de investigación de seguridad BlueBox, la misma compañía que descubrió la llamada vulnerabilidad "Master Key" de Android, ha anunciado el descubrimiento de un error en la forma en que Android maneja los certificados de identidad utilizados para firmar las aplicaciones. La vulnerabilidad, que BlueBox ha denominado "Fake ID", permite que las aplicaciones maliciosas se asocien con certificados de aplicaciones legítimas, obteniendo así acceso a cosas a las que no deberían tener acceso.

Las vulnerabilidades de seguridad como esta suenan aterradoras, y ya hemos visto uno o dos titulares hiperbólicos hoy ya que esta historia se ha revelado. Sin embargo, cualquier error que permita a las aplicaciones hacer cosas que no deben hacer es un problema grave. Resumamos lo que sucede en pocas palabras, lo que significa para la seguridad de Android y si vale la pena preocuparse por …

Actualización: hemos actualizado este artículo para reflejar la confirmación de Google de que tanto la Play Store como la función "verificar aplicaciones" se han actualizado para corregir el error de identificación falsa. Esto significa que la gran mayoría de los dispositivos activos de Google Android ya tienen cierta protección contra este problema, como se describe más adelante en el artículo. La declaración completa de Google se puede encontrar al final de esta publicación.

El problema: certificados Dodgy

'Identificación falsa' proviene de un error en el instalador del paquete de Android.

Según BlueBox, la vulnerabilidad se debe a un problema en el instalador del paquete de Android, la parte del sistema operativo que maneja la instalación de aplicaciones. Aparentemente, el instalador del paquete no verifica adecuadamente la autenticidad de las "cadenas" de certificados digitales, lo que permite que un certificado malicioso afirme que ha sido emitido por una parte confiable. Eso es un problema porque ciertas firmas digitales proporcionan a las aplicaciones acceso privilegiado a algunas funciones del dispositivo. Con Android 2.2-4.3, por ejemplo, las aplicaciones que llevan la firma de Adobe tienen acceso especial al contenido de la vista web, un requisito para el soporte de Adobe Flash que si se usa incorrectamente podría causar problemas. Del mismo modo, falsificar la firma de una aplicación que tiene acceso privilegiado al hardware utilizado para pagos seguros a través de NFC podría permitir que una aplicación maliciosa intercepte información financiera confidencial.

Más preocupante, un certificado malicioso también podría usarse para suplantar cierto software de administración de dispositivos remotos, como 3LM, que es utilizado por algunos fabricantes y otorga un amplio control sobre un dispositivo.

Como escribe el investigador de BlueBox, Jeff Foristall:

"Las firmas de aplicaciones juegan un papel importante en el modelo de seguridad de Android. La firma de una aplicación establece quién puede actualizar la aplicación, qué aplicaciones pueden compartir sus datos, etc. Ciertos permisos, utilizados para restringir el acceso a la funcionalidad, solo pueden ser utilizados por las aplicaciones que tienen misma firma que el creador del permiso. Más interesante aún, a firmas muy específicas se les otorgan privilegios especiales en ciertos casos ".

Si bien el problema de Adobe / webview no afecta a Android 4.4 (porque la vista web ahora se basa en Chromium, que no tiene los mismos enlaces de Adobe), el error del instalador del paquete subyacente aparentemente continúa afectando algunas versiones de KitKat. En una declaración dada a Android Central, Google dijo: "Después de recibir noticias de esta vulnerabilidad, emitimos rápidamente un parche que se distribuyó a los socios de Android, así como al Proyecto de Código Abierto de Android".

Google dice que no hay evidencia de que 'Fake ID' esté siendo explotada en la naturaleza.

Dado que BlueBox dice que informó a Google en abril, es probable que se haya incluido alguna solución en Android 4.4.3, y posiblemente algunos parches de seguridad basados ​​en 4.4.2 de los OEM. (Consulte este código de confirmación, gracias Anant Shrivastava). Las pruebas iniciales con la propia aplicación de BlueBox muestran que el LG G3, el Samsung Galaxy S5 y el HTC One M8 europeos no se ven afectados por la identificación falsa. Nos hemos comunicado con los principales OEM de Android para averiguar qué otros dispositivos se han actualizado.

En cuanto a los detalles de la identificación falsa vuln, Forristal dice que revelará más sobre la Conferencia de Black Hat en Las Vegas el 2 de agosto. En su declaración, Google dijo que había escaneado todas las aplicaciones en su Play Store, y algunas alojadas en otras tiendas de aplicaciones, y no encontré evidencia de que el exploit se estuviera utilizando en el mundo real.

La solución: corregir errores de Android con Google Play

A través de Play Services, Google puede neutralizar este error en la mayoría del ecosistema activo de Android.

La identificación falsa es una vulnerabilidad de seguridad grave que, si se apunta adecuadamente, podría permitir que un atacante haga un daño grave. Y como el error subyacente se ha abordado recientemente en AOSP, puede parecer que la gran mayoría de los teléfonos Android están abiertos a ataques, y lo seguirá siendo en el futuro previsible. Como hemos discutido antes, la tarea de actualizar los aproximadamente mil millones de teléfonos Android activos es un desafío enorme, y la "fragmentación" es un problema que está integrado en el ADN de Android. Pero Google tiene una carta de triunfo cuando se trata de problemas de seguridad como este: los servicios de Google Play.

Al igual que Play Services agrega nuevas funciones y API sin requerir una actualización de firmware, también se puede usar para tapar agujeros de seguridad. Hace algún tiempo, Google agregó una función de "verificación de aplicaciones" a los Servicios de Google Play como una forma de escanear cualquier aplicación en busca de contenido malicioso antes de instalarla. Además, está activado de forma predeterminada. En Android 4.2 y versiones posteriores, se encuentra en Configuración> Seguridad; en versiones anteriores la encontrarás en Configuración de Google> Verificar aplicaciones. Como dijo Sundar Pichai en Google I / O 2014, el 93 por ciento de los usuarios activos utilizan la última versión de los servicios de Google Play. Incluso nuestro antiguo LG Optimus Vu, con Android 4.0.4 Ice Cream Sandwich, tiene la opción "verificar aplicaciones" de Play Services para protegerse contra el malware.

Google ha confirmado a Android Central que la función "verificar aplicaciones" y Google Play se han actualizado para proteger a los usuarios de este problema. De hecho, los errores de seguridad de nivel de aplicación como este son exactamente para lo que está diseñada la función "verificar aplicaciones". Esto limita significativamente el impacto de Fake ID en cualquier dispositivo que ejecute una versión actualizada de Google Play Services: lejos de que todos los dispositivos Android sean vulnerables, la acción de Google para abordar Fake ID a través de Play Services lo neutralizó efectivamente antes de que el problema se hiciera público conocimiento.

Descubriremos más cuando la información sobre el error esté disponible en Black Hat. Pero dado que el verificador de aplicaciones de Google y Play Store pueden detectar aplicaciones usando Fake ID, la afirmación de BlueBox de que "todos los usuarios de Android desde enero de 2010" están en riesgo parece exagerada. (Aunque es cierto que los usuarios que ejecutan un dispositivo con una versión de Android no aprobada por Google quedan en una situación difícil).

Dejar que Play Services actúe como guardián es una solución provisional, pero es bastante efectiva.

De todos modos, el hecho de que Google haya estado al tanto de la identificación falsa desde abril hace que sea muy poco probable que cualquier aplicación que use el exploit llegue a Play Store en el futuro. Al igual que la mayoría de los problemas de seguridad de Android, la forma más fácil y efectiva de lidiar con Fake ID es ser inteligente acerca de dónde obtiene sus aplicaciones.

Sin duda, evitar que una vulnerabilidad sea explotada no es lo mismo que eliminarla por completo. En un mundo ideal, Google podría impulsar una actualización inalámbrica a cada dispositivo Android y eliminar el problema para siempre, tal como lo hace Apple. Dejar que Play Services y Play Store actúen como guardianes es una solución provisional, pero dado el tamaño y la naturaleza en expansión del ecosistema de Android, es bastante efectiva.

No está bien que muchos fabricantes todavía tomen demasiado tiempo para implementar actualizaciones de seguridad importantes en los dispositivos, particularmente los menos conocidos, ya que problemas como este tienden a resaltar. Pero es mucho mejor que nada.

Es importante estar al tanto de los problemas de seguridad, especialmente si es un usuario de Android experto en tecnología: el tipo de persona a la que recurre la gente común para obtener ayuda cuando algo sale mal con su teléfono. Pero también es una buena idea mantener las cosas en perspectiva y recordar que lo importante no es solo la vulnerabilidad, sino también el posible vector de ataque. En el caso del ecosistema controlado por Google, Play Store y Play Services son dos herramientas poderosas con las que Google puede manejar el malware.

Así que mantente seguro e inteligente. Lo mantendremos informado con cualquier información adicional sobre identificación falsa de los principales OEM de Android.

Actualización: un portavoz de Google ha proporcionado a Android Central la siguiente declaración:

"Apreciamos que Bluebox nos informe de manera responsable de esta vulnerabilidad; la investigación de terceros es una de las formas en que Android se fortalece para los usuarios. Después de recibir la noticia de esta vulnerabilidad, rápidamente emitimos un parche que se distribuyó a los socios de Android, así como a AOSP Google Play y Verify Apps también se han mejorado para proteger a los usuarios de este problema. En este momento, hemos escaneado todas las aplicaciones enviadas a Google Play, así como aquellas que Google ha revisado desde fuera de Google Play y no hemos visto evidencia de intentos explotación de esta vulnerabilidad ".

Sony también nos ha dicho que está trabajando para implementar la corrección de identificación falsa en sus dispositivos.