Android: One Root to Rule Them All
We zien wel vaker claims van ‘beveiligingsexperts’ die een lek gevonden hebben in Android dat eigenlijk helemaal niet zo schadelijk blijkt te zijn. Jeff Forristal is wel een onderzoeker die een behoorlijke reputatie heeft opgebouwd. Hij was namelijk, tenminste gedocumenteerd, de eerste die een ‘responsible disclosure policy’ instelde. Dat houdt in dat gevonden beveiligingslekken worden bekendgemaakt aan het grote publiek, maar dat bedrijven eerst de kans krijgen het lek te dichten. Daarnaast was hij, wederom gedocumenteerd, de eerste die aanvallen met SQL-injecties, een hack-methode, herkende.
De titel van zijn presentatie op de Black Hat-conferentie, een conferentie voor hackers en andere beveiligingsexperts, is ‘Android: One Root to Rule Them All’. Echter, het lijkt niet per se te gaan om een nieuwe root-methode, een methode om administrator-rechten te krijgen, maar om een methode waarmee installatiebestanden voor Androidapplicaties kunnen worden aangepast.
APK-installatiebestanden
Android gebruikt installatiebestanden voor applicaties, genaamd APK’s. Deze bestanden (Android application package) bevatten alles wat een applicatie nodig heeft: afbeeldingen, code en lay-outs. Om er voor te zorgen dat er niet met deze bestanden kan worden geknoeid, worden deze bestanden digitaal ondertekend. Ontwikkelaars gebruiken hiervoor een digitale handtekening.
Bij het digitaal ondertekenen worden ook specifieke kenmerken van de applicatie bekeken. Bij dit soort toepassingen is het gebruikelijk om te kijken naar de grootte van het bestand voor ondertekening en het maken van een soort digitale vingerafdruk van het bestand. Wanneer de handtekening wordt bekeken, is deze alleen geldig als ook de andere kenmerken van de app kloppen.
Forristal claimt dat hij een manier heeft gevonden om deze beveiliging te omzeilen. Hij geeft aan dat er problemen zitten in de manier waarop de gegevens worden gecontroleerd, waardoor het mogelijk is om de code van applicaties aan te passen, zonder dat er door het systeem bezwaar wordt gemaakt omdat er kenmerken niet kloppen. Als zijn bewering klopt, en gegeven zijn reputatie lijkt dat zeker niet onwaarschijnlijk, dan is dit een behoorlijk ernstig lek in de beveiliging van Android.
Gevolgen
Dat installatiebestanden aan kunnen worden gepast, zou voor een enorm beveiligingsrisico kunnen zorgen. Forristal geeft aan dat het aanpassen van APK-bestanden slechts een stap verwijderd is van het verkrijgen van volledige systeemtoegang. Kwaadwillenden zouden APK-bestanden kunnen voorzien van kwaadaardige software (malware) en installatie van deze bestanden zou geen belletje doen rinkelen: de digitale ondertekening van de applicatie zou namelijk lijken te kloppen.
Forristal zegt dat het lek van toepassing is op een groot aantal Androidapparaten met verschillende Androidversies, zonder dat dat aanpassingen voor hoeven worden gedaan of slechts kleine aanpassingen. Werkende voorbeelden zullen worden vrijgegeven voor toestellen van verschillende fabrikanten.
Lek gedicht?
Het is zeer waarschijnlijk dat het beveiligingslek inmiddels gedicht is in Android. Google neemt beveiligingsproblemen serieus en is pro-actief op zoek naar nieuwe gaten. Aangezien het lek al in februari gemeld is, lijkt het zo goed als zeker dat Google het lek boven heeft. Echter, de vraag is of het lek gedicht kan worden zonder softwareupdate. Het is mogelijk dat het probleem alleen verholpen kan worden door systeembestanden aan te passen, wat wil zeggen dat fabrikanten moeten zorgen voor een systeemupdate.
Google scant applicaties in de Google Play Store op kwaadaardige software. Ook worden applicaties in quarantaine gezet, om te kijken of ze toevallig rare dingen uit gaan halen. Applicaties die van buiten de Google Play Store gehaald worden, kunnen ook door de Google Play Store gescand worden. Deze scan is echter lang niet zo effectief, zo bewees afgelopen jaar een uitgebreid onderzoek. Het is goed mogelijk dat de malwarescanner van de Google Play Store inmiddels zo is aangepast dat het beveiligingslek dat door Forristal is aangekaart gedicht is.
Maatregelen
Vooralsnog is de beste maatregel die kunt nemen het alleen installeren van apps uit de Google Play Store. Deze zijn niet per definitie veilig, maar in ieder geval een stuk veiliger dan applicaties van buitenaf. Nu we op de hoogte zijn van dit (mogelijke) lek, is het ook belangrijk om op te merken dat updates voor officiële applicaties, zoals Gmail en Calendar en zelfs de Google Play Store, die gedownload zijn buiten de Google Play Store om niet per definitie veilig zijn. Voorheen gingen we er vanuit dat het bijna onmogelijk was om met dit soort updates, die voorzien zijn van een officiële digitale handtekening, te knoeien. Vermoedelijk zal Google nog voor de conferentie reageren op het lek.
Via: Android Police
Reacties
Inloggen of registreren
om een reactie achter te laten
Android is zo lek als een mandje , dat blijkt elke keer alw?.
Lekker rustig hier. Of zitten alle fanboys met hun kop in het zand?
Ik heb samsung maar weer eens een berichtje gestuurd om opheldering te vragen. Zal wel weer een standaard antwoord terug krijgen dat de huidige rom de beste gebruikers ervaring biedt en dat samsung geen inzicht heeft in updates en dat ze me niet verder kunnen helpen. Net als bij het vorige beveiligingsissue.
Verder aftellen naar september maar.
heftig
>>Vooralsnog is de beste maatregel die kunt nemen het alleen installeren van apps uit de Google Play Store.
De beste beveiliging om safe te zijn is om de Google Play niet te gebruiken, maar alleen de Amazon play store.
Amazon reviewt wel alle applicaties actief voor ze beschikbaar komen in de store. Klinkt rigoureus om te doen, maar maakt Android toch een stuk veiliger.
Klinkt heftig. Het zou in feite betekenen dat alle oudere telefoons die geen update meer krijgen eigenlijk een update MOETEN krijgen om veilig te blijven. En dan nog ben je afhankelijk van de gebruiker of die überhaupt wel een update gaat uitvoeren.
Ik hoop dat het niet zo ernstig is, maar ik ben bang van wel.