- PVSM.RU - https://www.pvsm.ru -

Security Week 09: кто отвечает за безопасность Android?

Security Week 09: кто отвечает за безопасность Android? - 1Сразу несколько новостей прошлой недели касались безопасности платформы Android. Наибольший интерес представляет исследование [1] безопасности смартфона Samsung, проведенное командой Google Project Zero. В модели Samsung Galaxy A50 (возможно, и в других тоже, но это не проверялось) производитель встроил в ядро Linux собственный код, отвечающий за аутентификацию процессов. Система Process Authenticator призвана усилить безопасность смартфона: при запуске приложений и системных служб она сверяет цифровую подпись.

Проверяется относительно небольшое количество процессов. По уникальному формату подписи исследователь обнаружил всего 13 штук, среди них — сервисы для работы с Bluetooth и Wi-Fi. Эксперт из Google создал сценарий, при котором система Process Authenticator вызывается для «проверки» вредоносного приложения, а ряд уязвимостей в коде Samsung позволяет получить расширенные права. Приводится пример чтения данных из базы авторизованных на телефоне аккаунтов. Вывод из этого следующий: модифицировать ядро от поставщика (то есть от Google) — не всегда хорошая идея. И вот тут совершенно техническая статья переходит в плоскость политики и поднимает тему взаимодействия участников экосистемы Android: кто должен отвечать за безопасность софта, и не стоит ли разработчикам смартфонов ограничить модификацию кода в целях этой самой безопасности?

По крайней мере, в СМИ это исследование интерпретировали [2] как вежливую просьбу Google не вмешиваться в код. В исследовании это сформулировано так: не трогайте хотя бы ядро. В идеале используйте безопасные методы взаимодействия с ядром при написании драйверов устройств. Там же приводится еще один пример неидеальной (мягко говоря) работы конкретного вендора с разработчиком Android. В сентябре 2018-го в ядре Linux обнаружили и достаточно скоро исправили баг [3], но до конкретного телефона Samsung с апдейтами безопасности от ноября 2019 года патч так и не добрался (был исправлен только с февральским апдейтом уже этого года). То есть информация у Samsung была, патч имелся, но по каким-то причинам (возможно, конфликт патча с собственным кодом производителя) его не применили.

Это интересное исследование показывает в деталях, как работает фрагментация платформы Android и как это влияет на безопасность прямо (поздно доходят обновления) и косвенно (добавляется кастомный код, который сам по себе может быть уязвимым). Тем не менее решение этой проблемы, равно как и оценка ее серьезности — уже не техническая дискуссия, а скорее вопрос соблюдения интересов всех сторон.

Традиционной проблемой экосистемы Android является проникновение приложений с вредоносным довеском в официальный магазин Play Store. В компании Check Point Research недавно нашли [4] девять приложений из репозитория с новым видом вредоносного кода, известным как Haken. Он позволяет шпионить за пользователями и подписывает их на платные сервисы. В январе компания Google удалила [5] из Play Store 17 тысяч приложений, использующих вредоносную платформу Joker: код был хорошо спрятан, и программы благополучно прошли проверку перед публикацией. Также на прошлой неделе Google удалила [6] более 600 приложений за надоедливую рекламу.

Что еще произошло:
Очередная критическая уязвимость [7] в плагине для WordPress. Аддон Duplicator для бэкапа и переноса сайтов можно использовать для произвольного скачивания файлов с сервера без авторизации, включая, например, базу логинов и паролей пользователей.

Adobe выпустила [8] внеочередной апдейт, закрывающий две критических уязвимости в программе After Effects. Неожиданная цель для экстренного обновления, но и уязвимости серьезные — с помощью подготовленного файла для этой программы можно выполнять произвольный код.

Свежие утечки [9] данных: на хакерском форуме всплыла база данных клиентов MGM Resorts. Более 10 миллионов записей включают информацию о посетителях казино MGM Grand в Лас-Вегасе. В открытый доступ попали персональные данные, контактная информация, но не платежные данные. Среди пострадавших, что ожидаемо, много знаменитостей.

Интересное исследование [10], посвященное уязвимости BlueKeep в медицинской технике под управлением Windows. Этот баг в Remote Desktop Protocol закрыли год назад, но, по данным компании CyberMDX, больше половины медицинских устройств под Windows работают на версиях ОС, которые не обновляются.

Для пользователей веб-камер Amazon Ring ввели [11] принудительную двухфакторную аутентификацию. Нововведение связано с большим числом атак на слабые (или повторно используемые) пароли пользователей, в результате чего взломщики получают доступ к видеоданным и могут даже выходить с жертвами на прямую связь. В декабре про несколько таких взломов писали [12] и в традиционных СМИ.

Исследование компании Eclypse поднимает тему верификации [13] обновлений прошивок различных устройств, включая, например, тачпады, модули Wi-Fi для ноутбуков Lenovo, HP и Dell. Отсутствие цифровой подписи теоретически означает, что прошить такой модуль можно без ведома пользователя, в обход стандартной системы доставки обновлений, а заодно добавить в код вредоносные функции.

Автор: Kaspersky_Lab

Источник [14]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/samsung/347704

Ссылки в тексте:

[1] исследование: https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html

[2] интерпретировали: https://www.trustedreviews.com/news/google-tells-samsung-off-for-meddling-with-android-3987424

[3] баг: https://crbug.com/project-zero/1657

[4] нашли: https://threatpost.com/haken-malware-family-infests-google-play-store/153091/

[5] удалила: https://threatpost.com/joker-androids-malware-ramps-volume/151785/

[6] удалила: https://threatpost.com/google-bans-600-android-apps/153101/

[7] уязвимость: https://threatpost.com/active-attacks-duplicator-wordpress-plugin/153138/

[8] выпустила: https://threatpost.com/critical-adobe-flaws-fixed-in-out-of-band-update/153060/

[9] утечки: https://threatpost.com/mgm-grand-breach-leaked-details-of-10-6-million-guests-last-summer/153054/

[10] исследование: https://threatpost.com/bluekeep-flaw-plagues-medical-devices/153029/

[11] ввели: https://threatpost.com/ring-mandates-2fa-hacks/152971/

[12] писали: https://www.buzzfeednews.com/article/briannasacks/ring-camera-hack-stranger-speaks-to-girl

[13] верификации: https://threatpost.com/lenovo-hp-dell-peripherals-unpatched-firmware/152936/

[14] Источник: https://habr.com/ru/post/489850/?utm_campaign=489850&utm_source=habrahabr&utm_medium=rss