Bluebox Security によって発見された新しい Android 設計エラーにより、悪意のあるアプリがインストール時に特別な許可を求めずにユーザーのデバイスを広範に制御できるようになります。この問題は、2010 年以降に販売された事実上すべての Android スマートフォンに影響します。
ブルーボックスは、この欠陥を「Fake ID」と呼んでいます。これは、マルウェア アプリが Android に偽の資格情報を渡すことを可能にし、アプリの暗号署名を適切に検証できないためです。代わりに、Android は、マルウェアが主張する正当なアプリのすべてのアクセス許可を不正アプリに付与します。
Google は Android 内のさまざまな信頼できるアプリに広範な権限を付与しているため、これは特に深刻です。マルウェアは、これらの信頼できるアプリのいずれかを装うことで、特別な権限を必要としないアプリをインストールしているとユーザーを騙し、システムをだましてデバイスを実質的に完全に制御させ、ユーザーの財務データ、連絡先、その他の個人情報、さらにはクラウドに保存されているデータも含まれます。
ブルーボックスは、この欠陥を3カ月前にグーグルに開示したと述べた。同社の最高技術責任者ジェフ・フォリスタル氏は、それがどのように発見されたのか、そしてそれがどのように機能するのかについて詳しく説明します。プレゼンテーション来週ラスベガスで開催されるセキュリティカンファレンスBlackHat USA 2014で。
偽の ID は Flash を悪用して他のアプリに感染する可能性がある
Fake ID によってなりすますことができる信頼できるアプリの中には、Adobe Flash があります。Google は、Steve Jobs が Flash について間違っていたことを証明するために、Android の Web ブラウザに深く統合しました。良い考えではないの上モバイルデバイス。
Googleは最終的には諦めたFlash for Android は、昨年秋の Android 4.4 KitKat のリリースまで、Adobe Flash プラグインの権限昇格の欠陥である Android の Web ビュー (Web コンテンツを表示するサードパーティ製アプリに埋め込まれるブラウザ コンポーネント) に埋め込まれたままでした。
Flash が Android の Webview コンポーネントに深く統合されているため、Fake ID を使用して Flash になりすましたマルウェアは、その後 Android のアプリ サンドボックスを脱出し、次のような他のアプリを制御することができます。セールスフォースとマイクロソフトOneDrive、それらのアプリからデータを取得し、それらのアプリのネットワーク トラフィックをすべて傍受し、それらのアプリが保持する追加の権限を取得します。Amazon の Fire OS や中国で使用されているさまざまなパッケージを含む Android オープンソース プロジェクトのフォークも Fake ID の影響を受けやすい
Google は昨秋、Android WebView Flash の欠陥を 4.4 KitKat から削除しましたが、7 月 7 日の時点で同社はレポート新しいバージョンをインストールしたユーザーは 18% 未満だということです。
残りの 82% は、次の理由で更新できないことがよくあります。よく知られている問題携帯電話会社やメーカーがアップデートを遅らせたり、配信しないことを選択したりする場合。
Google自体は、Galaxy Nexusの購入者にKitKatのアップデートを提供する価値はないと判断した。たとえその端末が発売されてから2年も経っていないにもかかわらずだ。 Google Play 以外では、Amazon の Fire OS や中国で使用されているさまざまなパッケージを含む Android オープンソース プロジェクトのフォークも Fake ID の影響を受けやすいです。
Flashは不要:偽IDでもNFCになりすますことができる
Google が Android に組み込んだ広範な Flash 権限に加えて、同社は NFC 支払いデータに関連付けられた独自の Google ウォレットのサポートも Android に組み込んでいます。
Fake ID を使用すると、インストール時にユーザーに特別な権限を要求しないマルウェア アプリが、その後 Google ウォレット アプリになりすますことができます。その後、Android は、ユーザーの財務データを含む独自の NFC インフラストラクチャに与えられたすべての権限を不正アプリに提供します。
悪用のもう 1 つのベクトルは、Google が Motorola を買収したとき (およびその後) に継承した MDM (モバイル デバイス管理) パッケージである 3LM です。放棄された)。しかし、Bluebox は、「さまざまな HTC、Pantech、Sharp、Sony Ericsson、Motorola デバイス」に Android 3LM コードが組み込まれており、Fake ID によって「マルウェアによる部分的または完全なデバイスの侵害」が可能になると指摘しました。
Bluebox氏はさらに、「アプリケーションを認証するために特定の署名の存在に依存する他のデバイスやアプリケーションも脆弱になる可能性がある。基本的に、Androidアプリケーションの検証済みの署名チェーンに依存するものはすべて、この脆弱性の影響を受ける」と付け加えた。
Wallet、3LM、その他のアプリは Flash/Android Webview の欠陥に依存していないため、これらの他の攻撃ベクトルは KitKat では修正されていません。つまり、Fake ID は、最新の Android 4.4.4 や今後登場する「Android L」(別名 Android 5.0 ベータ版)を含む、Android のすべてのバージョンに影響を及ぼします。Fake ID は、最新の Android 4.4.4 や次期「Android L」を含む、Android のすべてのバージョンに影響します。
GoogleはFake IDに対するパッチを開発する予定で、通信事業者やハードウェアベンダーからタイムリーなアップデートが提供されない可能性が高い大多数のAndroidユーザーを悪用しようとするマルウェアからユーザーを保護するために、Google Playでマルウェアのスキャンを試みることができる。
しかし、そのため、Amazon や、Google が Android をほとんど管理していない中国を含む海外で運営されているさまざまなストアなど、他のアプリ市場からアプリをインストールする「サイドローディング」方式が依然として広く残されています。
Apple の iOS アプリの署名と同様、検証部分はありません
Android アプリは、Apple の iOS と同様に、開発者のデジタル証明書を使用して署名されます。紹介された2008年に。
暗号的に署名されると、アプリはシステムによって本物であることが検証されます。その後の改ざん (悪意のあるウイルス コードの追加など) によって署名が破られ、システムはアプリの実行を拒否できます。
しかし、Bluebox は、「Android パッケージ インストーラーは証明書チェーンの信頼性を検証しようとしない。つまり、アイデンティティは別のアイデンティティによって発行されたと主張でき、Android 暗号化コードはその主張を検証しない(通常は検証される)」ことを発見しました。子証明書の発行者の署名を発行者の公開証明書と照合して検証します)。「Android パッケージ インストーラーは、証明書チェーンの信頼性を検証しようとしません」 - Bluebox
「たとえば、攻撃者は新しいデジタル ID 証明書を作成し、その ID 証明書が Adobe Systems によって発行されたという主張を偽造し、悪意のある ID 証明書と Adobe Systems の証明書を含む証明書チェーンを使用してアプリケーションに署名する可能性があります。
「インストール時に、Android パッケージ インストーラーは悪意のある ID 証明書の要求を検証せず、両方の証明書を含むパッケージ署名を作成します。これにより、Webview プラグイン マネージャーの証明書チェック コード (明示的にチェックする人) が騙されます。 Adobe 証明書のチェーン) を使用して、アプリケーションに Adobe Systems に与えられた特別な Webview プラグイン権限を付与することを許可します。これにより、サンドボックスがエスケープされ、Webview プラグインの形式で他のアプリケーションに悪意のあるコードが挿入されます。」
同社はさらに、「AOSP [Android オープンソース プロジェクト] JarUtils クラスの createChain() 関数と findCert() 関数を見てみるとわかりますが、発行者の証明書クレームの暗号検証が明らかに欠如しており、代わりにデフォルトで単純な暗号検証が行われています。 subjectDN と issuerDN の文字列の一致。Adobe Systems のハードコードされた証明書の例は、AOSP Webkit PluginManager クラスにあります。
別の複雑な問題もあります。 「複数の署名者が(各署名者がすべて同じアプリケーション部分に署名する限り)Androidアプリケーションに署名できるという事実によって、問題はさらに複雑になる」とBluebox氏は指摘した。
「これにより、ハッカーは一度に複数の偽の ID を運ぶ単一の悪意のあるアプリケーションを作成し、複数の署名検証特権の機会を利用してサンドボックスを脱出し、安全な支払いに使用される NFC ハードウェアにアクセスし、プロンプトや通知なしにデバイスの管理制御を取得することが可能になります」デバイスのユーザーに提供します。」
偽の ID には類似点があります。SSLの欠陥2月にAppleのiOSとOS Xに影響を与えることが判明。どちらの場合も、暗号化チェーンがバイパスされ、データへの悪意のあるアクセスが可能になる可能性があります。
Apple の SSL 脆弱性を悪用するには、攻撃者が共有ネットワーク アクセスを持ち、ユーザーがアクティブに送信している暗号化トラフィックの種類に一致する偽造証明書を作成する能力が必要でした。 Fake ID を使用するアプリは大量に作成され、無害なゲームや無料のセキュリティ ツールとして Android ユーザーに配布されるため、ほとんど労力をかけずに被害者を見つけて悪用することがはるかに簡単になります。
Android は Windows によく似ています
去年の夏、フォリスタル提示されたこれは Android にも同様のセキュリティ上の欠陥があり、Bluebox では「マスター キー」と名付けており、署名を壊さずにアプリのコードを変更できるためです。
その後欠陥が見つかったが、搾取されたフォリスタル氏は、1か月以内にマルウェア作成者によって「マルウェアがこっそり使用するのは困難だった」と語った。AppleInsider説明会で。「Android マルウェア エコシステムは、Windows を取り巻くものに似てきています」 - F-Secure Labs
一方、Fake ID はユーザーの関与を必要とせず、特別な権限を要求しない無害なアプリやゲームを装ったマルウェアによって使用される可能性があります。アプリがインストールされると、ユーザーが感染したことを知らなくてもアプリが引き継がれる可能性があります。
マルウェアは 2012 年に Android 向けに急速に進化し始めましたが、昨年、「高度に専門化されたサプライヤー」が Android プラットフォームの弱点を特にターゲットにして「コモディティ化されたマルウェア サービスを提供」し始めたため、新たな洗練度と範囲を獲得したと F-Secure Labs の研究者は述べています。注目した2013年の初めに。
「Android マルウェア エコシステムは、Windows を取り巻く環境に似てきている」と同社は観察しています。 9 月までに Duo Security述べた「Android デバイスの半数以上が、Android の既知のセキュリティ上の欠陥の少なくとも 1 つに対して脆弱である」ということです。
4月にシマンテックは報告されましたモバイルマルウェアの作成者は「ほぼ独占的に」Android に焦点を当てていたという。
今年初めに、安価な「Android RAT」、つまりリモート管理ツールのパッケージが登場現れ始めたわずか 300 ドルで。
RAT は、元の Android アプリまたは盗まれた Android アプリにマルウェア ペイロードを付加し、Google Play に送信されたアプリ内のマルウェア コードを検出するために使用される Google の Bouncer スキャン プロセスによる検出を回避するために、悪意のあるコードを隠蔽するように設計されています。
iOSとAndroidによるセキュリティへのアプローチの違い
AppleとGoogleは次のように表明したとても違うモバイル ソフトウェアの設計アプローチ。今年初めに Apple は iOS のセキュリティに関するホワイトペーパーを発表し、その中で「私たちは可能な限り最高のモバイル OS の開発に着手したとき、数十年の経験に基づいてまったく新しいアーキテクチャを構築しました。
「私たちはデスクトップ環境のセキュリティ上の危険性について考え、iOS の設計におけるセキュリティへの新しいアプローチを確立しました。私たちは、モバイルのセキュリティを強化し、システム全体をデフォルトで保護する革新的な機能を開発して組み込みました。その結果、iOS はOS セキュリティにおける大きな進歩。」
その結果、Apple は企業および政府ユーザーの間で急速に採用を拡大しましたが、Google はそうではありませんでした。
今月初め、Apple と IBM は次のことを発表しました。パートナーシップiOS 専用の新しいビジネス アプリ スイートにより、企業内で Apple 製品をさらに宣伝します。
Isamu 
Isamu 
Isamu