Security Week 31: Пятьдесят оттенков небезопасности в Android

Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright ^[1], пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным ^[2] Google, ускорилась.

Но не то чтобы стало совсем хорошо. Недавно мы писали ^[3] про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость ^[4]) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.

Это понятный, но все же довольно свежий взгляд на безопасность Android. Одно дело, когда уязвимость найдена в исходном коде Android: ей, как правило, подвержены все устройства, но поэтому и закрывается она быстро. Другое дело — проблема, привнесенная в ходе модификации стокового Android конкретным производителем: она может сидеть в прошивке годами.

Что в итоге нашли? Большинство уязвимостей относятся к сценарию «вредоносное приложение получает доступ туда, куда не следовало». Например, на телефоне LG G6 приложение без особых привилегий может заблокировать устройство так, что поможет только сброс до заводских настроек (иным способом разблокировка возможна, если заранее был включен отладочный интерфейс ADB). Там же была найдена возможность получения доступа к системным логам и отправки таковых через Интернет. В телефоне Essential Phone любое приложение может стереть абсолютно всю информацию с устройства. На Asus ZenFone 3 Max есть возможность выполнения команд с системными привилегиями из любого приложения.

Ну и так далее. В презентации компании на DEF CON было отмечено, что это ослабление норм изоляции приложений вызвано именно особенностями конкретной реализации Android. В эталонном стоковом варианте ОС таких проблем нет. Это, конечно, не так эпично, как 100+ смартфонов с активным бэкдором ^[5], но, кажется, впервые исследования безопасности пошли дальше по цепочке разработки, не ограничиваясь только анализом кода самого Android. Будь он хоть сто раз неуязвим, его модифицируют для работы на конкретном железе, у конкретного оператора, с конкретным софтом. Этим занимаются люди, и они могут совершать ошибки.

Кстати, про цепочку. Компания Check Point там же, на DEF CON, рассказала (новость ^[6], исследование ^[7]) про атаку типа Man in the Disk. Это такое модное название для в общем-то банальной ситуации: когда одно приложение складывает данные во внешнюю память, а другое их модифицирует. Для примера исследователи взяли приложения Google Translate, Яндекс.Переводчик и Xiaomi Browser.

Про это вроде бы безобидное действие сам Google в рекомендациях по защите приложений в Android пишет ^[8], что валидность данных, считываемых из внешней памяти, надо проверять, а исполняемые файлы там желательно не хранить. Все потому, что доступ к этой внешней памяти (грубо говоря, к карте microSD) возможен из любого другого приложения.

Так вот, в переводчиках Гугла и Яндекса исследователям удалось вызвать сбой приложения, подменив хранящиеся в общей памяти служебные данные. Само по себе это не так страшно, но в других программах теоретически возможны и перехват управления, и кража данных. Например, в Xiaomi Browser, — там удалось подменить само приложение на вредоносную копию, а все из-за того, что браузер хранит во внешней памяти временные файлы.

Еще один секьюрити-армагеддон, связанный с Android, ожидается благодаря разработчику онлайновой игры Fortnite. Во-первых, версия для Android до сих пор в разработке, хотя для iOS игра доступна. Это уже привело к появлению множества веб-страниц и видеороликов ^[9], где рассказывается, как скачать и установить игру на Android-смартфон, — естественно, с каким-нибудь трояном и кражей данных в конце. Во-вторых, компания Epic Games решила не выкладывать игру в магазин приложений Google Play, чтобы не платить Гуглу ощутимый процент от всех покупок пользователей. В результате даже тех, кто добросовестно ищет приложения только в официальном аппсторе, будут мотивировать поискать где-то еще, и хорошо, если они сразу пойдут на сайт разработчика. А если нет? Впрочем, это будет довольно легко отследить по количеству детектов вредоносных программ. По данным «Лаборатории» за первые три месяца этого года защитным ПО на Android было заблокировано ^[10] 1 322 578 вредоносных приложений. Кстати, это меньше, чем в предыдущем квартале. Продолжаем наблюдение.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник ^[11]