Νεοσύστατη εταιρεία ανάπτυξης λογισμικού ασφάλειας για smartphone και tablet ανακοίνωσε ότι εντόπισε σοβαρό κενό ασφάλειας που συνεχίζει να υπάρχει στο λειτουργικό σύστημα Android επί 4 χρόνια, αφήνοντας εκτεθειμένους εκατομμύρια χρήστες σε προσπάθειες πλήρους ελέγχου και καταγραφής του περιεχομένου των συσκευών τους. Μάλιστα, η Bluebox υποστηρίζει ότι είναι εξαιρετικά δύσκολο να συντονιστούν κατασκευαστές, δίκτυα και δημιουργοί app για να στείλουν μαζικά τις απαραίτητες ενημερώσεις που απαιτούνται για να κλείσει η κερκόπορτα.
Την μέθοδο με την οποία μπορούν αδιόρατα να καταστούν μαριονέτες εκατομμύρια συσκευές με Android εντόπισε μια νεοσύστατη εταιρεία από το Σαν Φρανσίσκο που ειδικεύεται στις λύσεις ασφαλείας για smartphone και tablet. Η ευπάθεια, δηλώνουν οι ερευνητές της Bluebox, έγκειται στον μηχανισμό πιστοποίησης της εγκυρότητας των app για Android (το μοντέλο ασφάλειας στο Android), και επιτρέπει στον επιτιθέμενο να τροποποιήσει το περιεχόμενο του πακέτου τους (APK) χωρίς να αλλάξει την κρυπτογραφημένη υπογραφή τους (cryptographic signature), παρά την επέμβαση στον κώδικα του app.
Έτσι, Android app μετατρέπονται σε Δούρειους Ίππους που κρύβουν μέσα στο APK τους λογισμικό που μπορεί να εξυπηρετεί δόλιους σκοπούς (malware), εξηγεί στον δικτυακό τόπο της Bluebox o Jeff Forristal. H δόλια επέμβαση που μπορεί να υποστεί οποιοδήποτε app περνά απαρατήρητη από το app store όπου διατίθεται, το τηλέφωνο και τον τελικό χρήστη, επισημαίνει ο Forristal. Μάλιστα, η κερκόπορτα υφίσταται ήδη από την διάθεση της έκδοσης 1.6 του Android, δηλαδή επί τέσσερα χρόνια και εκτιμάται ότι αφορά 900 εκατομμύρια συσκευές.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ακόμα, οι ερευνητές της BlueBox Security δηλώνουν πως το ρίσκο αυξάνεται και η κατάσταση επιδεινώνεται όταν η επέμβαση γίνεται σε app που αναπτύσσουν οι ίδιες κατασκευαστές των συσκευών ή τρίτοι που συνεργάζονται στενά μαζί τους (π.χ. Cisco AnyConnect VPN). Όπως εξηγούν, οι κατασκευαστές έχουν αυξημένα δικαιώματα πρόσβασης στην συσκευή (System UID), τα οποία μεταβιβάζονται εν αγνοία τους και στους επίδοξους εισβολείς. Σε αυτή την περίπτωση, μπορούν να διαβάσουν e-mail, SMS, έγγραφα κ.λπ.), να ανακτήσουν στοιχεία εισόδου σε λογαριασμούς και password αλλά και να χειριστούν όλες τις κλασικές λειτουργίες ενός τηλεφώνου, όπως την πραγματοποίηση κλήσεων, την αποστολή μηνυμάτων, την ενεργοποίηση της κάμερας ή την εγγραφή κλήσεων. Τέλος, οι εισβολείς θα μπορούσαν ακόμα και να ελέγξουν από απόσταση τις συσκευές που έχουν μολύνει, δημιουργώντας μια στρατιά Androidών-ζόμπι.
Η BlueBox δηλώνει πως έχει ενημερώσει την Google σχετικά ήδη από τον Φεβρουάριο του 2013 και εναπόκειται σε κατασκευαστές και χρήστες να κλείσουν την κερκόπορτα, αφού διαθέσουν οι μεν, και εγκαταστήσουν οι δε, τις απαραίτητες ενημερώσεις. Ωστόσο, η διαθεσιμότητα των λεγόμενων firmware updates αναμένεται να ποικίλλει σε εύρος και χρόνο, ανάλογα με το μοντέλο και τον κατασκευαστή αλλά και τα δίκτυα κινητής τηλεφωνίας που επίσης συχνά επεμβαίνουν στις συσκευές που διαθέτουν και έχουν System UID. Το ρίσκο αυξάνεται για συσκευές που ο κατασκευαστής τους έχει δηλώσει ότι δεν συνεχίζει να «περιποιείται», αφού σταματάει την διάθεση σχετικών updates (όπως έκανε πρόσφατα η HTC για το HTC One S).
Η BlueBox πρόκειται να παρουσιάσει όλες τις τεχνικές λεπτομέρειες στο συνέδριο Black Hat USA 2013 και προς το παρόν αρκείται να δημοσιεύει ένα screenshot που αποδεικνύει την δυνατότητά της να επέμβει στο λογισμικό ενός κατασκευαστή, αν και ανώδυνα, αλλάζοντας το όνομα σε ένα από τα χαρακτηριστικά του τηλεφώνου, κάτι για το οποίο απαιτείται πρόσβαση σε επίπεδο συστήματος. Εντούτοις, η BlueBox είχε αποκτήσει όλα τα δικαιώματα στην συσκευή.
O Forristal επιβεβαίωσε στο δίκτυο IGN ότι τουλάχιστον ένας κατασκευαστής και μια συσκευή δεν απειλείται από το “bug 8219321” (Samsung Galaxy S4) και ότι η Google δεν έχει ολοκληρώσει την διάθεση σχετικών ενημερώσεων «στα δικά της» Nexus.
Πάντως, το The Next Web, το Verge και άλλοι δικτυακοί τόποι επισημαίνουν πως οι εισβολείς θα πρέπει να βρουν τρόπο να διαθέσουν το μολυσμένο app -το επίσημο Google Play εμφανίζεται να έχει ανοσία από τέτοιου είδους επεμβάσεις και στα τέλη Απριλίου η Google απέκλεισε την δυνατότητα ενημέρωσης app με άλλο μηχανισμό πλην από τον επίσημο στο Google Play. Ωστόσο, δεν είναι σπάνιο χρήστες συσκευών με Android να στρέφονται σε εναλλακτικά καταστήματα διάθεσης app που δεν έχουν ανάλογους μηχανισμούς πιστοποίησης της εγκυρότητας των app που ανεβάζουν στα ράφια τους, ή να ανεβάσουν ψευδείς παραπομπές σε δημοφιλή app μέσω e-mail «ψαρέματος» (phishing) ή στο WWW.
Η Google δεν έχει σχολιάσει σχετικά.
