Fake ID, o noua bresa de securitate in Android

Bluebox, compania care a descoperit breşa de securitate Master Key în vara anului trecut, a dezvăluit existenţa unei alte vulnerabilităţi Android.

Breşa Fake ID a apărut încă de la versiunea 2.1 a sistemului de operare Android, s-a propagat până la versiunea 4.4 şi, chiar dacă Google a lansat actualizări şi a implementat măsuri de siguranţă, unele telefoane Android sunt încă vulnerabile, scrie go4it.ro.

Vulnerabilitatea Fake ID a fost descoperită în cadrul rutinelor software care validează certificatele digitale cu care sunt semnate aplicaţiile Android. Deşi ar trebui să o facă, sistemul de operare Android nu verifică autenticitatea certificatelor digitale, iar această deficienţă le permite creatorilor de aplicaţiile malware să folosească certificate false care pretind că au fost emise de companiile autorizate. Deoarece aceste certificate digitale sunt folosite uneori şi pentru validarea accesului la anumite module software protejate, creatorii de malware pot impersona aplicaţii legitime şi pot obţine acces la date sensibile.

Problema se pare că a apărut odată cu acordarea unor drepturi de acces lărgite aplicaţiilor Adobe certificate, această măsură fiind utilă deoarece permite accesarea platformelor Flash şi AIR din cadrul oricărei aplicaţii. Această metodă de evadare din cadrul mediului virtualizat al fiecărei aplicaţii Android a fost utilizat ulterior şi de alte produse de securitate sau management, iar malware-ul care foloseşte această breşă de securitate poate impersona aplicaţiile vizate pentru a avea acces la datele lor sau pentru a specula drepturilor lor de acces lărgite. Această problemă este agravată de faptul că aplicaţiile Android pot purta mai multe certificate de securitate, un eventual atacator putând specula mai multe metode de acces cu un singur produs software infectat.