Κλειδιά κρυπτογράφησης Android Phone Makers κλάπηκαν και χρησιμοποιούνται σε κακόβουλο λογισμικό

ZeroToHero

Ενώ η Google αναπτύσσει το λειτουργικό της σύστημα για κινητά Android ανοιχτού κώδικα, οι «κατασκευαστές αυθεντικού εξοπλισμού» που κατασκευάζουν smartphone Android, όπως η Samsung, παίζουν μεγάλο ρόλο στην προσαρμογή και την ασφάλεια του λειτουργικού συστήματος για τις συσκευές τους. Ωστόσο, ένα νέο εύρημα που δημοσιοποίησε η Google την Πέμπτη​ αποκαλύπτει ότι ορισμένα ψηφιακά πιστοποιητικά που χρησιμοποιούνται από προμηθευτές για την επικύρωση ζωτικών εφαρμογών συστήματος έχουν πρόσφατα παραβιαστεί και έχουν ήδη γίνει κατάχρηση για να βάλουν σφραγίδα έγκρισης σε κακόβουλες εφαρμογές Android.

Όπως συμβαίνει σχεδόν με κάθε λειτουργικό σύστημα υπολογιστή, το Android της Google έχει σχεδιαστεί με ένα μοντέλο «προνομίου», επομένως διαφορετικό λογισμικό που εκτελείται στο τηλέφωνό σας Android, από εφαρμογές τρίτων μέχρι το ίδιο το λειτουργικό σύστημα, περιορίζεται όσο το δυνατόν περισσότερο και επιτρέπεται μόνο η πρόσβαση στο σύστημα με βάση τις ανάγκες τους. Αυτό εμποδίζει το πιο πρόσφατο παιχνίδι που παίζετε να συλλέγει αθόρυβα όλους τους κωδικούς πρόσβασης, ενώ επιτρέπει στην εφαρμογή επεξεργασίας φωτογραφιών να έχει πρόσβαση στο ρολό της φωτογραφικής μηχανής σας και ολόκληρη η δομή επιβάλλεται από ψηφιακά πιστοποιητικά υπογεγραμμένα με κρυπτογραφικά κλειδιά. Εάν τα κλειδιά έχουν παραβιαστεί, οι εισβολείς μπορούν να παραχωρήσουν τα δικά τους δικαιώματα λογισμικού που δεν θα έπρεπε να έχει.

Η Google ανέφερε σε δήλωση την Πέμπτη ότι οι κατασκευαστές συσκευών Android κυκλοφόρησαν μετριασμούς, περιστρεφόμενα πλήκτρα και ώθησαν αυτόματα τις επιδιορθώσεις στα τηλέφωνα των χρηστών. Και η εταιρεία έχει προσθέσει ανιχνεύσεις σαρωτή για οποιοδήποτε κακόβουλο λογισμικό επιχειρεί να καταχραστεί τα παραβιασμένα πιστοποιητικά. Η Google είπε ότι δεν βρήκε στοιχεία που να αποδεικνύουν ότι το κακόβουλο λογισμικό εισήλθε στο Google Play Store, πράγμα που σημαίνει ότι έκανε τον γύρο μέσω διανομής τρίτου μέρους. Η αποκάλυψη και ο συντονισμός για την αντιμετώπιση της απειλής έγιναν μέσω μιας κοινοπραξίας γνωστής ως Πρωτοβουλία ευπάθειας συνεργατών Android.

«Αν και αυτή η επίθεση είναι αρκετά κακή, ήμασταν τυχεροί αυτή τη φορά, καθώς οι OEM μπορούν να περιστρέψουν γρήγορα τα επηρεαζόμενα κλειδιά στέλνοντας ενημερώσεις συσκευών over-the-air», λέει ο Zack Newman, ερευνητής στην εταιρεία ασφάλειας εφοδιαστικής αλυσίδας λογισμικού Chainguard, η οποία έκανε κάποια ανάλυση του συμβάντος.

Η κατάχρηση των παραβιασμένων «πιστοποιητικών πλατφόρμας» θα επέτρεπε σε έναν εισβολέα να δημιουργήσει κακόβουλο λογισμικό που είναι χρισμένο και έχει εκτεταμένες άδειες χωρίς να χρειάζεται να εξαπατήσει τους χρήστες για να το παραχωρήσουν. Η αναφορά της Google, από τον μηχανικό αντιστροφής Android Łukasz Siewierski, παρέχει ορισμένα δείγματα κακόβουλου λογισμικού που εκμεταλλεύονταν τα κλεμμένα πιστοποιητικά. Υποδεικνύουν τη Samsung και την LG ως δύο από τους κατασκευαστές των οποίων τα πιστοποιητικά παραβιάστηκαν, μεταξύ άλλων.

Η LG δεν επέστρεψε κανένα αίτημα από το WIRED για σχολιασμό. Η Samsung αναγνώρισε τον συμβιβασμό σε μια δήλωση και είπε ότι «δεν υπήρξαν γνωστά περιστατικά ασφαλείας σχετικά με αυτήν την πιθανή ευπάθεια».

Αν και η Google φαίνεται να έχει αντιληφθεί το ζήτημα προτού εκδηλωθεί, το περιστατικό υπογραμμίζει την πραγματικότητα ότι τα μέτρα ασφαλείας μπορούν να γίνουν μεμονωμένα σημεία αποτυχίας εάν δεν έχουν σχεδιαστεί προσεκτικά και με όσο το δυνατόν μεγαλύτερη διαφάνεια. Η ίδια η Google έκανε το ντεμπούτο της πέρυσι έναν μηχανισμό που ονομάζεται Google Binary Transparency που μπορεί να λειτουργήσει ως έλεγχος για το εάν η έκδοση του Android που εκτελείται σε μια συσκευή είναι η προβλεπόμενη, επαληθευμένη έκδοση. Υπάρχουν σενάρια στα οποία οι επιτιθέμενοι θα μπορούσαν να έχουν τόση πρόσβαση στο σύστημα ενός στόχου που θα μπορούσαν να νικήσουν τέτοια εργαλεία καταγραφής, αλλά αξίζει να αναπτυχθούν για να ελαχιστοποιηθεί η ζημιά και να επισημανθεί η ύποπτη συμπεριφορά σε όσο το δυνατόν περισσότερες περιπτώσεις.

Όπως πάντα, η καλύτερη άμυνα για τους χρήστες είναι να διατηρούν ενημερωμένο το λογισμικό σε όλες τις συσκευές τους.

«Η πραγματικότητα είναι ότι θα δούμε τους επιτιθέμενους να συνεχίζουν να επιδιώκουν αυτόν τον τύπο πρόσβασης», λέει ο Newman του Chainguard. «Αλλά αυτή η πρόκληση δεν είναι μοναδική για το Android και τα καλά νέα είναι ότι οι μηχανικοί ασφαλείας και οι ερευνητές έχουν σημειώσει σημαντική πρόοδο στην κατασκευή λύσεων που αποτρέπουν, εντοπίζουν και επιτρέπουν την ανάκτηση από αυτές τις επιθέσεις».