Semana de segurança 09: quem é responsável pela segurança do Android?

Apenas algumas notícias na semana passada diziam respeito à segurança da plataforma Android. De maior interesse é o estudo de segurança do Samsung Smartphone realizado pela equipe do Google Project Zero. No modelo Samsung Galaxy A50 (e possivelmente em outros também, mas isso não foi verificado), o fabricante integrou seu próprio código no kernel Linux, responsável pela autenticação do processo. O sistema Process Authenticator foi projetado para aprimorar a segurança do smartphone: ao iniciar aplicativos e serviços do sistema, verifica a assinatura digital.

Um número relativamente pequeno de processos é verificado. De acordo com o formato exclusivo de assinatura, o pesquisador encontrou apenas 13 peças, entre elas - serviços para trabalhar com Bluetooth e Wi-Fi. Um especialista do Google criou um cenário em que o sistema Process Authenticator é chamado para "verificar" um aplicativo mal-intencionado, e várias vulnerabilidades no código da Samsung permitem direitos estendidos. É fornecido um exemplo de leitura de dados do banco de dados de contas autorizadas no telefone. A conclusão é a seguinte: modificar o kernel de um provedor (ou seja, do Google) nem sempre é uma boa ideia. E aqui um artigo completamente técnico entra no plano da política e levanta o tópico da interação entre os participantes no ecossistema Android: quem deve ser responsável pela segurança do software e os desenvolvedores de smartphones devem restringir as modificações de código para essa mesma segurança?

Pelo menos a mídia interpretou este estudo como uma solicitação educada do Google para não interferir no código. No estudo, ele é formulado da seguinte forma: não toque nem no núcleo. Idealmente, use técnicas seguras de interação do kernel ao escrever drivers de dispositivo. Ele também fornece outro exemplo de trabalho imperfeito (para dizer o mínimo) de um fornecedor específico com o desenvolvedor do Android. Em setembro de 2018 , um bug foi descoberto no kernel Linux e corrigido em breve , mas o patch não chegou a um telefone Samsung específico com atualizações de segurança a partir de novembro de 2019 (foi corrigido apenas com a atualização de fevereiro deste ano). Ou seja, a Samsung tinha informações, um patch estava disponível, mas por algum motivo (possivelmente um conflito de patch com o código do fabricante), ele não foi usado.

Este estudo interessante mostra em detalhes como a fragmentação da plataforma Android funciona e como ela afeta a segurança diretamente (as atualizações chegam tarde) e indiretamente (o código personalizado é adicionado, o que por si só pode estar vulnerável). No entanto, a solução para esse problema, bem como uma avaliação de sua seriedade, não são mais uma discussão técnica, mas uma questão de observar os interesses de todas as partes.

O problema tradicional do ecossistema Android são aplicativos maliciosos que entram na Play Store oficial. A Check Point Research encontrou recentemente nove aplicativos do repositório com um novo tipo de código malicioso conhecido como Haken. Ele permite que você espie os usuários e os inscreva em serviços pagos. Google removido em janeiroda Play Store 17 mil aplicativos usando a plataforma maliciosa do Joker: o código estava bem oculto e os programas passaram no teste antes da publicação. Na semana passada, o Google removeu mais de 600 aplicativos por anúncios irritantes.

O que mais aconteceu:
Outra vulnerabilidade crítica no plugin para WordPress. O complemento Duplicator para backup e transferência de sites pode ser usado para downloads arbitrários de arquivos do servidor sem autorização, incluindo, por exemplo, um banco de dados de logins e senhas de usuários.

Adobe lançadouma atualização extraordinária que cobre duas vulnerabilidades críticas no After Effects. Uma meta inesperada para uma atualização de emergência, mas as vulnerabilidades são graves - usando um arquivo preparado para este programa, você pode executar código arbitrário.

Novos vazamentos de dados: o banco de dados de clientes do MGM Resorts apareceu em um fórum de hackers. Mais de 10 milhões de entradas incluem informações do visitante para os visitantes do cassino MGM Grand Las Vegas. Informações pessoais, informações de contato, mas não dados de pagamento, ficaram disponíveis ao público. Entre as vítimas, como esperado, muitas celebridades. Estudo

interessantesobre a vulnerabilidade do BlueKeep na tecnologia médica baseada no Windows. Esse bug no Remote Desktop Protocol foi fechado há um ano, mas, de acordo com o CyberMDX, mais da metade dos dispositivos médicos para Windows funcionam em versões do sistema operacional que não são atualizadas.

O Amazon Ring introduziu a autenticação de dois fatores para os usuários da webcam . A inovação está associada a um grande número de ataques a senhas de usuários fracas (ou reutilizáveis), como resultado dos quais crackers obtêm acesso a dados de vídeo e podem até entrar em contato diretamente com as vítimas. Em dezembro, vários desses hacks também foram escritos na mídia tradicional.

Pesquisa Eclypse aumenta a verificaçãoAtualizações de firmware para vários dispositivos, incluindo, por exemplo, touchpads, módulos Wi-Fi para laptops Lenovo, HP e Dell. Teoricamente, a falta de uma assinatura digital significa que você pode atualizar esse módulo sem o conhecimento do usuário, ignorando o sistema de entrega de atualizações padrão e, ao mesmo tempo, adicionar funções maliciosas ao código.