Pekan Keamanan 09: siapa yang bertanggung jawab atas keamanan Android?

Beberapa berita minggu lalu berkaitan dengan keamanan platform Android. Yang paling menarik adalah studi keamanan Smartphone Samsung yang dilakukan oleh tim Google Project Zero. Pada model Samsung Galaxy A50 (dan mungkin juga yang lain, tetapi ini belum diverifikasi), pabrikan mengintegrasikan kode sendiri dalam kernel Linux, yang bertanggung jawab untuk otentikasi proses. Sistem Authenticator Proses dirancang untuk meningkatkan keamanan ponsel cerdas: saat memulai aplikasi dan layanan sistem, sistem akan memverifikasi tanda tangan digital.

Sejumlah kecil proses diperiksa. Menurut format tanda tangan yang unik, peneliti hanya menemukan 13 buah, di antaranya - layanan untuk bekerja dengan Bluetooth dan Wi-Fi. Seorang ahli dari Google menciptakan skenario di mana sistem Proses Authenticator dipanggil untuk "memeriksa" aplikasi jahat, dan sejumlah kerentanan dalam kode Samsung memungkinkan untuk perpanjangan hak. Contoh membaca data dari database akun yang diotorisasi pada telepon diberikan. Kesimpulan dari ini adalah sebagai berikut: memodifikasi kernel dari penyedia (yaitu, dari Google) tidak selalu merupakan ide yang baik. Dan di sini artikel yang sepenuhnya teknis masuk ke bidang politik dan mengangkat topik interaksi antara peserta dalam ekosistem Android: siapa yang harus bertanggung jawab atas keamanan perangkat lunak, dan haruskah pengembang ponsel membatasi modifikasi kode untuk keamanan ini?

Setidaknya media menafsirkan penelitian ini sebagai permintaan sopan dari Google untuk tidak mengganggu kode. Dalam penelitian ini, dirumuskan sebagai berikut: jangan menyentuh inti. Idealnya, gunakan teknik interaksi kernel yang aman saat menulis driver perangkat. Ini juga memberikan contoh lain dari ketidaksempurnaan (dengan kata lain) karya vendor tertentu dengan pengembang Android. Pada bulan September 2018 , bug ditemukan di kernel Linux dan segera diperbaiki , tetapi tambalan itu tidak mencapai ponsel Samsung tertentu dengan pembaruan keamanan dari November 2019 (itu diperbaiki hanya dengan pembaruan Februari tahun ini). Artinya, Samsung memiliki informasi, tambalan tersedia, tetapi untuk beberapa alasan (mungkin konflik tambalan dengan kode pabrikan sendiri) tidak digunakan.

Studi menarik ini menunjukkan secara terperinci bagaimana fragmentasi platform Android bekerja dan bagaimana hal itu memengaruhi keamanan secara langsung (pembaruan datang terlambat) dan secara tidak langsung (kode khusus ditambahkan, yang dengan sendirinya mungkin rentan). Namun demikian, solusi untuk masalah ini, serta penilaian keseriusannya, bukan lagi diskusi teknis, melainkan masalah mengamati kepentingan semua pihak.

Masalah tradisional ekosistem Android adalah aplikasi jahat memasuki Play Store resmi. Check Point Research baru-baru ini menemukan sembilan aplikasi dari repositori dengan jenis baru kode jahat yang dikenal sebagai Haken. Ini memungkinkan Anda memata-matai pengguna dan berlangganan mereka ke layanan berbayar. Google dihapus pada Januaridari Play Store 17 ribu aplikasi menggunakan platform Joker berbahaya: kode disembunyikan dengan baik, dan program-programnya berhasil lulus tes sebelum dipublikasikan. Pekan lalu, Google menghapus lebih dari 600 aplikasi untuk iklan yang mengganggu.

Apa lagi yang terjadi: Kerentanan
kritis lain dalam plugin untuk WordPress. Duplikator addon untuk cadangan dan transfer situs dapat digunakan untuk unduhan file sewenang-wenang dari server tanpa otorisasi, termasuk, misalnya, database login pengguna dan kata sandi. Adobe dirilis

pembaruan luar biasa yang mencakup dua kerentanan kritis di After Effects. Sasaran tak terduga untuk pembaruan darurat, tetapi kerentanannya serius - menggunakan file yang disiapkan untuk program ini, Anda dapat mengeksekusi kode arbitrer.

Segar Data kebocoran : MGM Resorts database pelanggan telah muncul pada forum hacker. Lebih dari 10 juta entri termasuk informasi pengunjung untuk pengunjung kasino MGM Grand Las Vegas. Informasi pribadi, informasi kontak, tetapi bukan data pembayaran, menjadi tersedia untuk umum. Di antara para korban, seperti yang diharapkan, banyak selebriti. Studi yang

menariktentang kerentanan BlueKeep dalam teknologi medis berbasis Windows. Bug ini di Remote Desktop Protocol ditutup setahun yang lalu, tetapi, menurut CyberMDX, lebih dari setengah perangkat medis untuk Windows berfungsi pada versi OS yang tidak diperbarui.

Amazon Ring telah memperkenalkan otentikasi dua faktor untuk pengguna webcam . Inovasi ini dikaitkan dengan sejumlah besar serangan terhadap kata sandi pengguna yang lemah (atau dapat digunakan kembali), sebagai akibatnya cracker mendapatkan akses ke data video dan bahkan dapat menghubungi korban secara langsung. Pada bulan Desember, beberapa peretasan seperti itu juga ditulis di media tradisional.

Eclypse Research Meningkatkan VerifikasiPembaruan firmware untuk berbagai perangkat, termasuk, misalnya, panel sentuh, modul Wi-Fi untuk laptop Lenovo, HP, dan Dell. Kurangnya tanda tangan digital secara teoritis berarti bahwa Anda dapat mem-flash modul semacam itu tanpa sepengetahuan pengguna, melewati sistem pengiriman pembaruan standar, dan pada saat yang sama menambahkan fungsi berbahaya ke kode.