Semana de la seguridad 09: ¿quién es responsable de la seguridad de Android?

Solo unas pocas noticias la semana pasada relacionadas con la plataforma de seguridad Android. De gran interés es el estudio de seguridad de Samsung Smartphone realizado por el equipo de Google Project Zero. En el modelo Samsung Galaxy A50 (y posiblemente también en otros, pero esto no ha sido verificado), el fabricante integró su propio código en el kernel de Linux, que es responsable de la autenticación del proceso. El sistema Process Authenticator está diseñado para mejorar la seguridad del teléfono inteligente: al iniciar aplicaciones y servicios del sistema, verifica la firma digital.

Se verifica un número relativamente pequeño de procesos. Según el formato de firma único, el investigador encontró solo 13 piezas, entre ellas, servicios para trabajar con Bluetooth y Wi-Fi. Un experto de Google creó un escenario en el que se llama al sistema Process Authenticator para "verificar" una aplicación maliciosa, y una serie de vulnerabilidades en el código de Samsung permiten derechos extendidos. Se proporciona un ejemplo de lectura de datos de la base de datos de cuentas autorizadas en el teléfono. La conclusión de esto es la siguiente: modificar el núcleo de un proveedor (es decir, de Google) no siempre es una buena idea. Y aquí un artículo completamente técnico entra en el plano de la política y plantea el tema de la interacción entre los participantes en el ecosistema de Android: ¿quién debería ser responsable de la seguridad del software y los desarrolladores de teléfonos inteligentes no deberían limitar las modificaciones de código para esta seguridad?

Al menos los medios interpretaron este estudio como una solicitud cortés de Google para no interferir con el código. En el estudio, está formulado de la siguiente manera: no toque ni siquiera el núcleo. Idealmente, use técnicas seguras de interacción con el núcleo al escribir controladores de dispositivo. También proporciona otro ejemplo de imperfecto (por decirlo suavemente) el trabajo de un proveedor particular con el desarrollador de Android. En septiembre de 2018 , se descubrió un error en el kernel de Linux y se solucionó muy pronto , pero el parche no llegó a un teléfono Samsung específico con actualizaciones de seguridad de noviembre de 2019 (se solucionó solo con la actualización de febrero de este año). Es decir, Samsung tenía información, había un parche disponible, pero por alguna razón (posiblemente un conflicto de parche con el código del fabricante) no se usó.

Este interesante estudio muestra en detalle cómo funciona la fragmentación de la plataforma Android y cómo afecta la seguridad directa (las actualizaciones llegan tarde) e indirectamente (se agrega código personalizado, que en sí mismo puede ser vulnerable). Sin embargo, la solución a este problema, así como una evaluación de su gravedad, ya no es una discusión técnica, sino una cuestión de observar los intereses de todas las partes.

El problema tradicional del ecosistema de Android es el malware con aplicaciones maliciosas que ingresan a la Play Store oficial. Check Point Research encontró recientemente nueve aplicaciones del repositorio con un nuevo tipo de código malicioso conocido como Haken. Le permite espiar a los usuarios y los suscribe a servicios pagos. Google eliminado en enerodesde Play Store 17 mil aplicaciones que utilizan la plataforma Joker maliciosa: el código estaba bien oculto y los programas pasaron con éxito la prueba antes de su publicación. La semana pasada, Google eliminó más de 600 aplicaciones para anuncios molestos.

Qué más sucedió:
otra vulnerabilidad crítica en el complemento para WordPress. El complemento Duplicator para copias de seguridad y transferencia de sitios se puede utilizar para descargas arbitrarias de archivos desde el servidor sin autorización, incluida, por ejemplo, una base de datos de inicios de sesión y contraseñas de usuarios.

Adobe lanzadoUna actualización extraordinaria que cubre dos vulnerabilidades críticas en After Effects. Un objetivo inesperado para una actualización de emergencia, pero las vulnerabilidades son graves: con un archivo preparado para este programa, puede ejecutar código arbitrario.

Nuevas filtraciones de datos: la base de datos de clientes de MGM Resorts ha aparecido en un foro de hackers. Más de 10 millones de entradas incluyen información de visitantes para los visitantes del casino MGM Grand Las Vegas. La información personal, la información de contacto, pero no los datos de pago, se hicieron públicos. Entre las víctimas, como era de esperar, muchas celebridades. Estudio

interesantesobre la vulnerabilidad de BlueKeep en la tecnología médica basada en Windows. Este error en el Protocolo de escritorio remoto se cerró hace un año, pero, según CyberMDX, más de la mitad de los dispositivos médicos para Windows funcionan en versiones del sistema operativo que no están actualizadas.

Amazon Ring ha introducido la autenticación de dos factores para usuarios de cámaras web . La innovación está asociada con una gran cantidad de ataques a contraseñas de usuario débiles (o reutilizables), como resultado de lo cual los crackers obtienen acceso a los datos de video e incluso pueden ir directamente con las víctimas. En diciembre, varios de estos hacks también se escribieron en los medios tradicionales.

La investigación de Eclypse aumenta la verificaciónActualizaciones de firmware para varios dispositivos, incluidos, por ejemplo, paneles táctiles, módulos de Wi-Fi para portátiles Lenovo, HP y Dell. La falta de una firma digital teóricamente significa que puede actualizar dicho módulo sin el conocimiento del usuario, sin pasar por el sistema de entrega de actualizaciones estándar y, al mismo tiempo, agregar funciones maliciosas al código.