Sicherheitswoche 09: Wer ist für die Android-Sicherheit verantwortlich?

Nur ein paar Neuigkeiten letzte Woche zum Thema Sicherheitsplattform Android. Von größtem Interesse ist die Samsung-Sicherheitsstudie für Smartphones , die vom Google Project Zero-Team durchgeführt wurde. Im Samsung Galaxy A50-Modell (und möglicherweise auch in anderen, aber dies wurde nicht überprüft) hat der Hersteller seinen eigenen Code in den Linux-Kernel integriert, der für die Prozessauthentifizierung verantwortlich ist. Das Process Authenticator-System wurde entwickelt, um die Sicherheit des Smartphones zu verbessern: Beim Starten von Anwendungen und Systemdiensten wird die digitale Signatur überprüft.

Eine relativ kleine Anzahl von Prozessen wird überprüft. Entsprechend dem einzigartigen Signaturformat fand der Forscher nur 13 Teile, darunter Dienste für die Arbeit mit Bluetooth und Wi-Fi. Ein Experte von Google hat ein Szenario erstellt, in dem das Process Authenticator-System aufgerufen wird, eine schädliche Anwendung zu "überprüfen", und eine Reihe von Sicherheitslücken im Samsung-Code erweiterte Rechte zulassen. Ein Beispiel für das Lesen von Daten aus der Datenbank der am Telefon autorisierten Konten wird gegeben. Die Schlussfolgerung daraus lautet wie folgt: Das Ändern des Kernels von einem Anbieter (dh von Google) ist nicht immer eine gute Idee. Und hier geht ein vollständig technischer Artikel auf die Ebene der Politik und wirft das Thema der Interaktion zwischen Teilnehmern am Android-Ökosystem auf: Wer sollte für die Sicherheit von Software verantwortlich sein und sollten Smartphone-Entwickler Code-Änderungen für genau diese Sicherheit einschränken?

Zumindest die Medien interpretierten diese Studie als höfliche Aufforderung von Google, den Code nicht zu stören. In der Studie wird es wie folgt formuliert: Berühren Sie nicht einmal den Kern. Verwenden Sie beim Schreiben von Gerätetreibern im Idealfall sichere Kernel-Interaktionstechniken. Es bietet auch ein weiteres Beispiel für die unvollständige (gelinde gesagt) Arbeit eines bestimmten Anbieters mit dem Android-Entwickler. Im September 2018 wurde ein Fehler im Linux-Kernel entdeckt und ziemlich bald behoben , aber der Patch erreichte ab November 2019 kein bestimmtes Samsung-Telefon mit Sicherheitsupdates (er wurde nur mit dem Februar-Update dieses Jahres behoben). Das heißt, Samsung hatte Informationen, ein Patch war verfügbar, aber aus irgendeinem Grund (möglicherweise ein Patch-Konflikt mit dem Code des Herstellers) wurde er nicht verwendet.

Diese interessante Studie zeigt im Detail, wie die Fragmentierung der Android-Plattform funktioniert und wie sie sich direkt (Updates kommen spät) und indirekt (benutzerdefinierter Code wird hinzugefügt, der an sich anfällig sein kann) auf die Sicherheit auswirkt. Die Lösung dieses Problems sowie die Beurteilung seiner Schwere ist jedoch keine technische Diskussion mehr, sondern eine Frage der Wahrung der Interessen aller Parteien.

Das traditionelle Problem des Android-Ökosystems sind bösartige Apps, die in den offiziellen Play Store gelangen. Check Point Forschung vor kurzem gefunden neun Anwendungen aus dem Repository mit einer neuen Art von bösartigem Code bekannt als Haken. Sie können Benutzer ausspionieren und kostenpflichtige Dienste abonnieren. Google wurde im Januar entferntaus dem Play Store 17.000 Anwendungen, die die bösartige Joker-Plattform verwenden: Der Code war gut versteckt, und die Programme haben den Test vor der Veröffentlichung erfolgreich bestanden. Letzte Woche Google entfernt mehr als 600 Apps für lästige Werbung.

Was noch passiert ist:
Eine weitere kritische Sicherheitslücke im Plugin für WordPress. Das Duplicator-Addon für die Sicherung und Standortübertragung kann für beliebige Dateidownloads vom Server ohne Autorisierung verwendet werden, einschließlich beispielsweise einer Datenbank mit Benutzeranmeldungen und Kennwörtern.

Adobe veröffentlichtEin außergewöhnliches Update, das zwei kritische Schwachstellen in After Effects abdeckt. Ein unerwartetes Ziel für ein Notfall-Update, aber die Sicherheitslücken sind schwerwiegend. Mithilfe einer für dieses Programm vorbereiteten Datei können Sie beliebigen Code ausführen.

Frische Daten Lecks : MGM Resorts Kundendatenbank hat auf einem Hacker - Forum aufgetaucht. Über 10 Millionen Einträge enthalten Besucherinformationen für MGM Grand Las Vegas Casino-Besucher. Persönliche Informationen, Kontaktinformationen, jedoch keine Zahlungsdaten, wurden öffentlich zugänglich. Unter den Opfern waren erwartungsgemäß viele Prominente.

Interessante Studieüber die BlueKeep-Sicherheitslücke in der Windows-basierten Medizintechnik. Dieser Fehler im Remotedesktopprotokoll wurde vor einem Jahr geschlossen, aber laut CyberMDX funktioniert mehr als die Hälfte der medizinischen Geräte für Windows mit Versionen des Betriebssystems, die nicht aktualisiert werden.

Amazon Ring hat die Zwei-Faktor-Authentifizierung für Webcam-Benutzer eingeführt . Die Innovation ist mit einer großen Anzahl von Angriffen auf schwache (oder wiederverwendbare) Benutzerkennwörter verbunden, wodurch Cracker Zugriff auf Videodaten erhalten und sogar direkt mit Opfern zusammenarbeiten können. Im Dezember mehr solche Hacks wurden auch geschrieben in den traditionellen Medien.

Eclypse-Forschung erhöht VerifikationFirmware-Updates für verschiedene Geräte, z. B. Touchpads, Wi-Fi-Module für Lenovo, HP und Dell-Laptops. Das Fehlen einer digitalen Signatur bedeutet theoretisch, dass Sie ein solches Modul ohne Wissen des Benutzers flashen können, das Standard-Update-Bereitstellungssystem umgehen und gleichzeitig dem Code schädliche Funktionen hinzufügen können.