Qual è l'impatto della vulnerabilità di integrità dell'APK di Bluebox Android?

3

Bluebox ha ha recentemente rivelato una vulnerabilità (bug di sicurezza Android 8219321) in Android , che sta ricevendo molta copertura nei media.

Il titolo del post è "Scoprire la chiave master di Android" - presumo che questo sia solo un titolo adatto ai media, e che una chiave principale non ci arrivi.

Da ciò che hanno divulgato finora, consente

APK code modification without breaking the cryptographic signature

Prendendo questo a valore nominale, se è possibile prendere un'applicazione Android firmata (APK) e modificarla senza invalidare la firma, quali attacchi pratici sono possibili?

Qual è il rischio per un tipico utente di Play Store (probabilmente solo installando risultati di ricerca di alto livello e app in evidenza nel Play Store)?

Alcune domande più specifiche:

  • Dato un APK validamente firmato (mal intenzionalmente modificato), quali sono gli ostacoli per ottenere la versione legittima del Play Store della app aggiornata con quel file?

  • Un hacker man-in-the-middle (ad esempio un hotspot Wi-Fi dannoso) potrebbe sfruttare l'aggiornamento automatico in qualsiasi modo (potrebbe essere) gli APK consegnati su HTTPS?)

  • Affermano che un'app firmata che sembra provenire dal produttore del dispositivo consente l'accesso completo al sistema - queste autorizzazioni sono diverse dal normale sistema di permessi Android? Come funziona? Gli aggiornamenti di sistema vengono forniti come APK e qui vi sono dei rischi?

  • Quanto questo aiuta gli attacchi di phishing? Presumibilmente, un utente dovrebbe comunque abilitare l'installazione da "fonti sconosciute"?

Apprezzo che a questo punto i dettagli completi della vulnerabilità non siano pubblicamente disponibili *, quindi sono alla ricerca di risposte basate sulla citazione precedente e possibilmente estrapolando informazioni aggiuntive da qualsiasi altra cosa Bluebox abbia detto o da altre fonti affidabili .

* presumibilmente se questo bug è stato corretto in tutti gli aggiornamenti rilasciati pubblicamente, scopriremo molto rapidamente che cosa proviene da persone che analizzano i delta nell'area di verifica dell'APK.

    
posta Michael 05.07.2013 - 22:28
fonte

2 risposte

1

Vorrei aggiungere al commento di Ben che la possibilità di impiantare codice ostile in quella che si presume essere un'applicazione affidabile non richiede l'accesso fisico, un attacco di social engineering che coinvolge il caricamento laterale di un'app aggiornata (ad esempio Maps) da un il download è anche possibile.

L'accesso fisico al dispositivo da parte dell'utente malintenzionato non è richiesto se l'utente finale segue istruzioni (ostili): non riceveranno alcun messaggio di errore se la vulnerabilità viene facilmente attivata.

    
risposta data 21.01.2014 - 16:01
fonte
0

L'exploit pratico è la possibilità di sostituire in seguito codice diverso da quello firmato, sia su base individuale che all'ingrosso.

La possibilità di sostituire un codice completamente diverso, senza modificare la firma, significa che l'applicazione potrebbe essere sottoposta a una rigorosa revisione e firmata come innocua o vantaggiosa applicazione, ma la versione installata eseguirà un set di codice completamente diverso che non ha mai stato recensito Tuttavia, la firma sarebbe la stessa, quindi per quanto riguarda Android è ancora un'applicazione affidabile.

Peggio ancora, questo potrebbe essere impiantato nel dispositivo da chiunque abbia accesso fisico senza conoscenze particolari. Ad esempio, se l'APK è stato memorizzato su una scheda SD, la scheda SD potrebbe essere sfilata, modificata e sostituita in pochi minuti. Ma per quanto riguarda Android, la firma è la stessa quindi deve essere la stessa app.

    
risposta data 21.01.2014 - 11:03
fonte

Leggi altre domande sui tag