Security Week 09: qui est responsable de la sécurité Android?

La semaine dernière, quelques nouvelles concernaient la sécurité de la plateforme Android. L' étude sur la sécurité des smartphones Samsung menée par l'équipe Google Project Zero est particulièrement intéressante . Dans le modèle Samsung Galaxy A50 (et peut-être dans d'autres aussi, mais cela n'a pas été vérifié), le fabricant a intégré son propre code dans le noyau Linux, qui est responsable de l'authentification des processus. Le système Process Authenticator est conçu pour améliorer la sécurité du smartphone: lors du démarrage des applications et des services système, il vérifie la signature numérique.

Un nombre relativement restreint de processus est vérifié. Selon le format de signature unique, le chercheur n'a trouvé que 13 pièces, parmi elles - des services pour travailler avec Bluetooth et Wi-Fi. Un expert de Google a créé un scénario dans lequel le système Process Authenticator est appelé pour «vérifier» une application malveillante, et un certain nombre de vulnérabilités dans le code Samsung autorisent des droits étendus. Un exemple de lecture des données de la base de données des comptes autorisés sur le téléphone est donné. La conclusion de ceci est la suivante: modifier le noyau à partir d'un fournisseur (c'est-à-dire de Google) n'est pas toujours une bonne idée. Et ici, un article complètement technique entre dans le plan de la politique et soulève le sujet de l'interaction entre les participants de l'écosystème Android: qui devrait être responsable de la sécurité des logiciels, et les développeurs de smartphones devraient-ils restreindre les modifications de code pour cette sécurité même?

Au moins, les médias ont interprété cette étude comme une demande polie de Google de ne pas interférer avec le code. Dans l'étude, il est formulé comme suit: ne touchez même pas le noyau. Idéalement, utilisez des techniques d'interaction sûres avec le noyau lors de l'écriture de pilotes de périphérique. Il fournit également un autre exemple d'imperfect (pour le moins) du travail d'un fournisseur particulier avec le développeur Android. En septembre 2018 , un bogue a été découvert dans le noyau Linux et corrigé assez rapidement , mais le correctif n'a pas atteint un téléphone Samsung spécifique avec des mises à jour de sécurité à partir de novembre 2019 (il n'a été corrigé qu'avec la mise à jour de février de cette année). Autrement dit, Samsung avait des informations, un correctif était disponible, mais pour une raison quelconque (peut-être un conflit de correctifs avec le propre code du fabricant), il n'a pas été utilisé.

Cette étude intéressante montre en détail comment fonctionne la fragmentation de la plate-forme Android et comment elle affecte la sécurité directement (les mises à jour arrivent en retard) et indirectement (du code personnalisé est ajouté, ce qui en soi peut être vulnérable). Néanmoins, la solution à ce problème, ainsi qu'une évaluation de sa gravité, ne sont plus une discussion technique, mais plutôt une question de respect des intérêts de toutes les parties.

Le problème traditionnel de l'écosystème Android est que les applications malveillantes entrent dans le Play Store officiel. Check Point Research a récemment trouvé neuf applications dans le référentiel avec un nouveau type de code malveillant appelé Haken. Il vous permet d'espionner les utilisateurs et de les abonner à des services payants. Google a été supprimé en janvierdu Play Store 17 mille applications utilisant la plateforme malveillante Joker: le code était bien caché et les programmes ont réussi le test avant publication. La semaine dernière, Google a supprimé plus de 600 applications pour les publicités ennuyeuses.

Que s'est-il passé d'
autre : Une autre vulnérabilité critique dans le plugin pour WordPress. L'addon Duplicator pour la sauvegarde et le transfert de site peut être utilisé pour des téléchargements de fichiers arbitraires depuis le serveur sans autorisation, y compris, par exemple, une base de données de connexions et de mots de passe utilisateur.

Adobe est sortiune mise à jour extraordinaire qui couvre deux vulnérabilités critiques dans After Effects. Un objectif inattendu pour une mise à jour d'urgence, mais les vulnérabilités sont graves - en utilisant un fichier préparé pour ce programme, vous pouvez exécuter du code arbitraire.

Nouvelles fuites de données: la base de données clients MGM Resorts a fait surface sur un forum de hackers. Plus de 10 millions d'entrées incluent des informations touristiques pour les visiteurs du casino MGM Grand Las Vegas. Les informations personnelles, les coordonnées, mais pas les données de paiement, sont devenues publiques. Parmi les victimes, comme prévu, de nombreuses célébrités. Étude

intéressantesur la vulnérabilité de BlueKeep dans la technologie médicale basée sur Windows. Ce bogue dans Remote Desktop Protocol a été fermé il y a un an, mais, selon CyberMDX, plus de la moitié des appareils médicaux pour Windows fonctionnent sur des versions du système d'exploitation qui ne sont pas mises à jour.

Amazon Ring a introduit une authentification à deux facteurs pour les utilisateurs de webcam . L'innovation est associée à un grand nombre d'attaques contre des mots de passe d'utilisateurs faibles (ou réutilisables), ce qui permet aux crackers d'accéder aux données vidéo et peuvent même aller directement avec les victimes. En décembre, plusieurs de ces hacks ont également été écrits dans les médias traditionnels.

La recherche Eclypse augmente la vérificationMises à jour du micrologiciel pour divers appareils, y compris, par exemple, les pavés tactiles, les modules Wi-Fi pour les ordinateurs portables Lenovo, HP et Dell. L'absence de signature numérique signifie théoriquement que vous pouvez flasher un tel module à l'insu de l'utilisateur, en contournant le système de livraison de mise à jour standard, et en même temps ajouter des fonctions malveillantes au code.