Odhalena druhá bezpečnostní díra podobná „Master Key“

bezpeci_ico

Čínský blog zveřejnil informace o další, v pořadí již druhé bezpečnostní díře během tří dnů, podobající se nedávno zveřejněné zranitelnosti, která se vžila pod názvem „Master Key exploit“. Nový bezpečnostní nedostatek také využívá chybu v ověřování podpisu a umožňuje zdánlivě bezpečnému instalačnímu balíčku APK nést škodlivý kód. Stejně, jako v předchozím případě, Google již o problému ví, dokonce již připravil záplatu, kterou uvolnil do Android Open Source Project (AOSP).

Za čínským blogem stojí Android Security Squad – není ale známo, zda se jedná o skupinu, nebo jednotlivce (ano, zkráceně je to skutečně ASS ;) ). Původní příspěvek je v čínštině, zahraniční média k jeho překladu zpravidla použila Překladač Google. Chyba, která dostala číslo 9695860, byla objevena, když bezpečnostní expert zkoumal seznam změn provedených 3. července v AOSP. Jedna poznámka k aktualizaci zněla: „Hodnoty v ZIP souborech jsou typu unsigned,“ („unsigned“ – celočíselný datový typ umožňující pouze kladná čísla; za upřesnění děkujeme čtenáři s nickem Phil.cz) a na základě změn v kódu byl výzkumník byl schopen odhalit dříve nezveřejněnou zranitelnost. K objevu a následnému zveřejnění tedy došlo až následkem opravy a netušíme, zda tuto slabinu našel sám Google, nebo jestli ji objevila nějaká třetí strana.

Způsob modifikace APK balíčku Způsob modifikace APK balíčku

Způsob zneužití je poměrně složitý a jsou k němu nutné relativně náročné úpravy souboru APK. V kostce jde o to, že uvnitř balíčku jsou umístěny dvě verze souboru classes.dex – původní a upravená/hacknutá. K přesahu původní a upravené verze dojde nepozorovaně během rozbalení souboru. Kontejner je upraven tak, aby Android zkoumal pouze původní verzi. Během kontroly podpisu systém čte dvojici hodnot, která určí, kde se nacházejí skutečná data souboru. Poskytnutím záporného čísla dojde k načtení regulérního souboru. Google v opravě tohoto problému jednoduše určil, že hodnoty musí vyjít v kladných číslech, čímž znemožnil použití uvedení metody.

Na následujícím obrázku můžete vidět konkrétní změny v kódu – červená zobrazuje původní kód, zelená je nová verze.

Změny v kódu - takto byla chyba opravena Změny v kódu – takto byla chyba opravena

Stejně, jako v případě exploitu zveřejněného BlueBox Security, i tento pracuje se systémem, jakým Android provádí ověření podpisu a rozbalení souboru. Naštěstí existuje několik omezení tohoto útoku – je možné nahradit pouze jeden soubor (classes.dex), a to pouze v případě, že je menší než 64 kB. Proces vytvoření upraveného APK vyžaduje preciznost a poměrně hlubokou znalost struktury souborů.

Máme ale i špatnou zprávu: protože oprava se zdá být docela nová, je nepravděpodobné, že by již byla šířena na jakákoli zařízení, včetně Nexusů a „Google edicí“ Samsungu Galaxy S4 a HTC One. Vzhledem k rychlosti, s níž CyanogenMod vydává bezpečnostní opravy, můžeme očekávat, že jeho uživatelé pravděpodobně budou mezi prvními, které budou chráněni (doplněno: během dnešní noci skutečně byla zmíněná oprava implementována do CM 10.1.2).

Otázkou je, jak rychle budou reagovat výrobci telefonů a operátoři, jakož i samotný Google. BlueBox Security včera vydali aplikaci Security Scanner, která prozkoumá a zobrazí, zda je zařízení zranitelné, zabezpečené, nebo jestli již na něm byla zmíněná bezpečnostní trhlina zneužita. Poněkud paradoxně z našich čtenářů hlásili aplikovanou záplatu především ti, kteří používají alternativní ROMky a několik majitelů Samsungů. Největším překvapením je ale skutečnost, že nezáplatovaný systém má poměrně hodně uživatelů telefonů a tabletů Nexus, včetně posledních Nexusů 4 a 7.

Protože Google si je zjevně vědom problému, lze předpokládat, že Obchod Play již kontroluje aplikace a je schopen zjistit soubory, obsahující tuto formu útoku. Jinými slovy: instalujte aplikace z Obchodu Play a buďte velmi opatrní u všech nedůvěryhodných zdrojů. Tento bezpečnostní nedostatek je potenciálně stejně nebezpečný jako ten reportovaný BlueBoxem a budoucí aktualizace zabezpečení skoro jistě opraví oba problémy najednou, takže není důvod k obavám.

Mělo by vás zajímat: Máte v Androidu bezpečnostní díru? Odpověď dá Bluebox Security Scanner!

Zdroj: Android Police, AOSP, blog.sina.com.cn a Redmond Pie.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (8)