Security Week 09: кто отвечает за безопасность Android?
Сразу несколько новостей прошлой недели касались безопасности платформы Android. Наибольший интерес представляет исследование безопасности смартфона Samsung, проведенное командой Google Project Zero. В модели Samsung Galaxy A50 (возможно, и в других тоже, но это не проверялось) производитель встроил в ядро Linux собственный код, отвечающий за аутентификацию процессов. Система Process Authenticator призвана усилить безопасность смартфона: при запуске приложений и системных служб она сверяет цифровую подпись.
Проверяется относительно небольшое количество процессов. По уникальному формату подписи исследователь обнаружил всего 13 штук, среди них — сервисы для работы с Bluetooth и Wi-Fi. Эксперт из Google создал сценарий, при котором система Process Authenticator вызывается для «проверки» вредоносного приложения, а ряд уязвимостей в коде Samsung позволяет получить расширенные права. Приводится пример чтения данных из базы авторизованных на телефоне аккаунтов. Вывод из этого следующий: модифицировать ядро от поставщика (то есть от Google) — не всегда хорошая идея. И вот тут совершенно техническая статья переходит в плоскость политики и поднимает тему взаимодействия участников экосистемы Android: кто должен отвечать за безопасность софта, и не стоит ли разработчикам смартфонов ограничить модификацию кода в целях этой самой безопасности?
По крайней мере, в СМИ это исследование интерпретировали как вежливую просьбу Google не вмешиваться в код. В исследовании это сформулировано так: не трогайте хотя бы ядро. В идеале используйте безопасные методы взаимодействия с ядром при написании драйверов устройств. Там же приводится еще один пример неидеальной (мягко говоря) работы конкретного вендора с разработчиком Android. В сентябре 2018-го в ядре Linux обнаружили и достаточно скоро исправили баг, но до конкретного телефона Samsung с апдейтами безопасности от ноября 2019 года патч так и не добрался (был исправлен только с февральским апдейтом уже этого года). То есть информация у Samsung была, патч имелся, но по каким-то причинам (возможно, конфликт патча с собственным кодом производителя) его не применили.
Это интересное исследование показывает в деталях, как работает фрагментация платформы Android и как это влияет на безопасность прямо (поздно доходят обновления) и косвенно (добавляется кастомный код, который сам по себе может быть уязвимым). Тем не менее решение этой проблемы, равно как и оценка ее серьезности — уже не техническая дискуссия, а скорее вопрос соблюдения интересов всех сторон.
Традиционной проблемой экосистемы Android является проникновение приложений с вредоносным довеском в официальный магазин Play Store. В компании Check Point Research недавно нашли девять приложений из репозитория с новым видом вредоносного кода, известным как Haken. Он позволяет шпионить за пользователями и подписывает их на платные сервисы. В январе компания Google удалила из Play Store 17 тысяч приложений, использующих вредоносную платформу Joker: код был хорошо спрятан, и программы благополучно прошли проверку перед публикацией. Также на прошлой неделе Google удалила более 600 приложений за надоедливую рекламу.
Что еще произошло:
Очередная критическая уязвимость в плагине для WordPress. Аддон Duplicator для бэкапа и переноса сайтов можно использовать для произвольного скачивания файлов с сервера без авторизации, включая, например, базу логинов и паролей пользователей.
Adobe выпустила внеочередной апдейт, закрывающий две критических уязвимости в программе After Effects. Неожиданная цель для экстренного обновления, но и уязвимости серьезные — с помощью подготовленного файла для этой программы можно выполнять произвольный код.
Свежие утечки данных: на хакерском форуме всплыла база данных клиентов MGM Resorts. Более 10 миллионов записей включают информацию о посетителях казино MGM Grand в Лас-Вегасе. В открытый доступ попали персональные данные, контактная информация, но не платежные данные. Среди пострадавших, что ожидаемо, много знаменитостей.
Интересное исследование, посвященное уязвимости BlueKeep в медицинской технике под управлением Windows. Этот баг в Remote Desktop Protocol закрыли год назад, но, по данным компании CyberMDX, больше половины медицинских устройств под Windows работают на версиях ОС, которые не обновляются.
Для пользователей веб-камер Amazon Ring ввели принудительную двухфакторную аутентификацию. Нововведение связано с большим числом атак на слабые (или повторно используемые) пароли пользователей, в результате чего взломщики получают доступ к видеоданным и могут даже выходить с жертвами на прямую связь. В декабре про несколько таких взломов писали и в традиционных СМИ.
Исследование компании Eclypse поднимает тему верификации обновлений прошивок различных устройств, включая, например, тачпады, модули Wi-Fi для ноутбуков Lenovo, HP и Dell. Отсутствие цифровой подписи теоретически означает, что прошить такой модуль можно без ведома пользователя, в обход стандартной системы доставки обновлений, а заодно добавить в код вредоносные функции.