Vlákno názorů k článku
Chyba v MediaServeru systému Android
od Jenda - V kazdem clanku o zranitelnosti Androida nebo i...
-
Jenda (neregistrovaný)
V kazdem clanku o zranitelnosti Androida nebo i iOS je napsano: Utocnik musi presvedcit uzivatele, aby si nainstaloval napadenou aplikaci. Pak muze byt telefon potencialne zneuzit. Pokud se tato aplikace nesiri pres Google Play tak vubec nevim, jak by si BFU ten telefon nakazil. Lidi nic o instalaci z alternativnich marketu nevedi. Mnozi ani neznaji Google Play. Pokud si budu na jakoukoliv platformu instalovat sracky, pak se nemuzu divit. Rozdavejte rootovsky heslo na pockani na internetuba uvidime, jak dlouho bude Linux nebo Mac v pohode. Na Widlich je to uplne v zadku. Tam kazdej odklikne cokoliv se mu na obrazovce objevi.
-
Nemusi. Nastesti tu mame starsi chyby. http://www.root.cz/zpravicky/zranitelnost-v-systemu-android-umoznujici-eskalaci-prav/
-
Lael Ophir (neregistrovaný)
1. Android je stavěný tak, že aplikace běží v sandboxu a nemohou se vzájemně ovlivňovat. Problém je v tom, že ten sandbox je děravý jako cedník. Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.
2. V řadě případů není vůbec potřeba nic instalovat. Stačí například když oběti pošlete MMS. Došlo to tak daleko, že řada operátorů MMS úplně zakázala. Bohužel se to týká i multimédia files přijatých jinými kanály, například přes instant messaging klienty.
http://www.root.cz/zpravicky/mnoho-telefonu-s-androidem-je-mozne-hacknout-jen-pomoci-mms/Další lahůdkou je například zranitelnost v komponentě WebView, která postihovala až 70% telefonů s Androidem, a kterou Google pro starší verze odmítl opravit. Pro napadení telefonu stačilo navštívit webovou stránku, nebo použít aplikaci která WebView interně používá.
http://www.net-security.org/secworld.php?id=163853. API Androidu poskytuje funkce, které musejí autorům malwaru udělat radost. Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, tak se logicky objeví malware, který toho zneužívá. Když k tomu přičtete chyby v ověřování podpisů instalovaných aplikací (řada master key bugs), to že aplikace při updatech mohou bez dotazu povyšovat oprávnění apod., tak je to celkem katastrofa.
4. Systém aktualizací Androidu je rozbitý. Google sice vydává opravy se zpožděním a často zanedbává staré verze Androidu, ale to není hlavní problém. Distribuce oprav je zajišťovaná výrobci zařízení a/nebo operátory, a ti na starší telefony (bohužel často i na nové) zvysoka kašlou. Přitom Google by klidně mohl stanovit distribuci patchů výrobcem telefonu jako podmínku pro uzavření smlouvy o používání Google Mobile Services.
5. Výsledkem je nejen to že telefony s Androidem posílají spoustu dat kamsi do cloudu, ale navíc jich desítky procent zůstávají trvale děravé. Přitom v řadě zemí je pro zákazníky pořízení smartphonu investicí srovnatelnou s investicí Evropana do pořízení automobilu. Telefon těm lidem slouží jako mobilní banka, umožňuje jim prodávat sklizeň, být v kontaktu s rodinou a přáteli atd. Přesně tihle lidé jsou nejzranitelnější díky roli telefonu v jejich životě, nedostatku technických znalostí, koupi levných telefonů a nedostatku prostředků na koupi nového telefonu.
-
ean (neregistrovaný)
Podle zde mnohokrat zminovaneho reportu (https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf) jsou bezpecnostni problemy Androidu jinde, nez zde popisujete. Ocividne se ridite pouckou, ze tisickrat opakovana lez se stava pravdou.
-
Cohen (neregistrovaný)
Vy mi nerozumíte, Vámi zmiňovaný report shrnuje bezpečnostní opatření Androidu do nic neříkajících všeobecných vět na prvních pěti stránkách, načež se dále věnuje bezpečnosti Play store. A konstatuje, že "za mé služby se nic zvláštního nestalo", jen k tomu doplňuje spoustu grafů. Ale bezpečnost OS se nedá odbýt tím, že se Vám nemůže nic stát, protože Vám nic nebezpečného nepošleme. To je bezpečnost jak ve slepičárně - venku obchází sekuriťák se psem, ale jak se dostane škodná dovnitř, začne mazec. Neříkám, že je na tom Android takhle špatně, ale přesně tak se k tomu staví ten report.
Jinak jsem přesvědčen, že většina zdejších čtenářů si je velmi dobře vědoma bezpečnostního modelu Androidu a stejně jako já se zájmem sleduje změny v nových verzích, jen s trošku trpkou příchutí, kdy že se objeví na mém zařízení (to nevyčítám Googlu). A to, že se tu vyskytují nepřesnosti v diskuzích mne nechává poměrně chladným (určitě i já nějaké generuji), nejsem apoštol, abych se za Android bil do krve, z toho jsem už vyrostl. Chci bezpečný systém. A ne za rok, za měsíc, v novém zařízení, ale teď. Je bezpředmětné se bavit o tom, že v této sezoně jsou ke koupi GMO ovce, dštící v nebezpečí oheň, když mi nahoře na pastvinách vlci trhají bezbranné obsoleted unsupported stádo na kusy.
-
ean (neregistrovaný)
Na jedne strane muzete mit bezpecnostni diru, kterou se pokousi vyuzit nekolik desitek aplikaci. Kdyz to prozkoumate bliz, tak zjistite, ze se jedna o proof-of-concept aplikace bezpecnostnich expertu, a ze zadna z nich neni mezi lidmi.
Na druhou stranu muzete mit aplikaci, ktera zadnou bezpecnostni diru nevyuziva, ale zato je ransomware (treba znemozni pouziti mobilu dokud nezaplatite) nebo SMS fraud (rozesila SMS-ky jinam, nez kam chce uzivatel).
Ktera z tech dvou hrozeb je pro uzivatele nebezpecnejsi? Z meho pohledu jednoznacne ta druha. Jenomze tahle hrozba se tyka vsech operacnich systemu, ne jen Androidu. Proto o ni LO strategicky mlci.
-
Cohen (neregistrovaný)
Hmm, teď jste to ale celkem zabil. Pro mne je o dost větší problém, když se šíří nějaký botnet díky bezpečnostní chybě, třeba i delší dobu sbírá zajímavé údaje, může na mě nasměrovat jako na proxy policii apod. Víte, že se zero-day zranitelnosti celkem běžně prodávají? A ne za málo.
Druhou hrozbu nevyřešíte jinak, než otravnými dotazy u rizikových akcí a edukací uživatelů, nemůžete potomkovi až do stáří oblepovat ostré rohy a podávat dudlík, musí se do určité míry o sebe postarat sám, tohle riziko existuje i ve fyzickém světě.
-
Nemyslite, ze kdyz se neco objevi jako proof-of-concept a je to zajimave tim, ze existuji miliony zarizeni s vhodnou dirou, ktera nikdo nebude zaplatovat, ze zitra z toho muze byt uz cele hafo funkcnich exploitu? Nedivili bych si, kdyby tymy kyberkriminalniku a vselijakych agentur uz jely v berserk modu na vyvoji vlastniho exploitu. Takovy darek nedostanou kazdy den.
-
ean (neregistrovaný)
Muj osobni nazor je, ze bezpecnostni chyby se maji zaplatovat co nejdriv. Tecka.
Na druhou stranu ale nemuzu nevidet prakticke duvody, ktere mohou vest vyrobce k tomu, ze se opravy nekterych bezpecnostnich chyb aplikuji az ve chvili, kdy diry zacnou byt skutecnou hrozbou. Mimochodem: Jakmile je dira vyuzivana botnetem, tak uz nejde o proof of concept.
Opravy bezpecnostnich der u mobilu jsou dulezite pro bezpecnost komunikacni infrastruktury celeho statu. Zvlast s ohledem na terorismus a cyberwarfare. Osobne se domnivam, ze stat by mel vytvorit vetsi tlak na vyrobce, aby telefony podporovali po dobu nekolika let. Jestli to maji byt dva roky nebo vice let, je otazka do diskuze. Soucasna situace, kdy vyrobce poskytuje dvouletou zaruku na HW ale zadnou zaruku na SW je ocividne nevyhovujici. Je mi jasne, ze za takove nazory by me zastanci volneho trhu uloukli cepicemi. Ale volny trh nedonuti bezne lidi kupovat Nexusy, iPhony, BlackBerry, ... protoze na ne nemaji penize.
-
Ondra Satai NekolaZlatý podporovatelSouhlas s tím, že patchovat, patchovat, patchovat. A ve volných chvílích patchovat.
Ale terorismus a kyberválka mi jako dost dobrý důvod nepřijdou, jsou spíš přeceňované vějičky.
-
ean (neregistrovaný)
Ach jo. Takze jeste jednou a doufejme, ze naposled.
Ad 1: Problém je v tom, že ten sandbox je děravý jako cedník.
SELinux v enforcing modu zavedl Android 5. Uvedte CVE vami zminovanych der pro tuto verzi.
Ad 1: Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.
Ten report zcela jasne vysvetluje, ze jde problem, ktery nema obecne reseni (v zadnem operacnim systemu). V specialnich pripadech (zname utoky, podezrele chovani aplikace) je skodliva aplikace automaticky z Google Play odstranena. Kontrola se provadi i u aplikace stazenych mimo Google Play!
Ad 2: Stačí například když oběti pošlete MMS.
K tehle chybe z 2015 se report z roku 2014 vyjadrovat nemuze. Workaround je znamy, v jakem stavu je patchovani nevim.
Ad 2: Další lahůdkou je například zranitelnost v komponentě WebView
Android 5 a vyssi updatuje WebView pres Google Play: With Android 5.0, WebView can now be updated by Google independent of the Android framework and without a system OTA.
Ad 3: Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, ...
Starting with Android 4.2, Android provides a user confirmation prompt prior to an application sending an SMS to a shortcode that might result in a premium service. SafetyNet aggregates these events and uses them as a signal for identifying Potentially Harmful Applications that attempt to use premium services without user consent.
Ad 4: Systém aktualizací Androidu je rozbitý.
U noveho Androidu se vybrane systemove komponenty instaluji pres Google Play. Vyrobci (Samsung, LG, Sony) nedavno prislibili zavedeni aktualizaci.
Ad 5: ... navíc jich desítky procent zůstávají trvale děravé
Obecna rada zni: Keep your device updated to the latest version at all times. If an update is not available for your device, manually install an OS like CyanogenMod that support older devices for a longer period of time.
Aby bylo jasno: Nepopiram, ze stare verze Androidu maji bezpecnostni problemy, a ze u nich aktulizace nebyly dobre vyreseny. A nelibi se mi to. Jsem ale rozhodne proti vasemu zevseobecnovani typu "Byly tam chyby, a proto je Android spatny." Google se z tech chyb poucil a nove verze na tu bezpecnost dbaji mnohem vic. Je treba si uvedomit, ze v dobe, kdy se zavadel Andoid < 4.x se mobil pro bankovni aplikace nepouzival a nikdo kriticka data v cloudu nemel. Situace se zmenila a Google na to zareagoval.
Nyni je treba donutit vyrobce, aby dostatecne aktualizace byly zajisteny i u low-end modelu. Osobne se domnivam, ze to neni snadny ukol. Napriklad iPhone 4s (8 GB) _bezneho_ uzivatele se pres OTA upgradovat neda, protoze nema dost volne pameti. Je treba upgradovat pres iTunes (ma osobni zkusenost). Androidove low-endy maji volne pameti jeste mene. Takze i v tomhle pripade se to bude muset delat pres pocitac. Je snad jasne, proc se do toho vyrobci mobilu nehrnou.
-
Cohen (neregistrovaný)
V zásadě jsme tedy ve shodě, protože podobně jako Vy nevidím extrémní problém v chybách samotných, ale spíše v možnostech jejich nápravy na existujících zařízeních, která je poměrně tristní.
Report Googlu jsem kritizoval především z toho důvodu, že obsahuje minimum informací o systémových zabezpečeních a spíše se soustřeďuje na to, kolik máme "headshotů". Když jsem před pár lety četl iOS security white paper, tak na mě naopak udělal solidní dojem. Tohle byla nuda.
Co se týče SELinuxu, tak je to určitě super, ačkoliv jsem policy nestudoval, takže nevím nakolik jsou "utažené šrouby". Nicméně SELinux samozřejmě není samospasitelný, sandbox se dá opustit i jinak:
https://labs.mwrinfosecurity.com/advisories/2015/08/13/sandbox-bypass-through-google-admin-webview/
Aktualizaci systémových komponent přes Play bych vyčetl to, že je nesystémová. Kdyby Google do 5.0 zařadil aktualizaci všech komponent, včetně ART atd., tak bych si teď hodil nohy na stůl a diskuze o bezpečnosti Androidu by mě nechaly chladným. Prakticky to ale vypadá tak, že Google vždy, kdy se najde nějaký průšvih, vyčlení danou komponentu do Play aplikace. A to v další verzi (logicky). Zvenku to pak působí dojmem, že problémy se řeší tak, že se vždy z monolitu kousek uřízne, udělá se mu proxy api a jede se zase dál. Aktuálně máme takto vyčleněné dvě komponenty.
Android celkově není špatný systém, bohužel se v poslední době ukazuje, že to Google úplně nedává a hasí jednu část domu, zatím co mu už hoří druhá. A vzhledem k tomu, že Android osobně dlouhou dobu používám, doufám, že se k tomu nepostaví alibisticky (jako spousta diskutujících), že je to open source, takže on si myje ruce a opravuje jen zdrojáky, on přece OS nedistribuuje. Je v tuto chvíli jediný, kdo na Androidu pořádně rýžuje a zaštiťuje ho svým jménem.
P.S.: CyanogenMod je bohužel hodně omezující, na polovinu zařízení, která se mi pozdávala, jsou pouze night buildy, na druhou zase jen verze 10 :/
-
Lael Ophir (neregistrovaný)
Ad 1: SELinux v enforcing modu zavedl Android 5. Uvedte CVE vami zminovanych der pro tuto verzi. - zjevně to nezabralo. Stagefright bug se týká Androidu všech verzí před 5.1.1_r9 (Lollipop) až k 2.2 (Froyo). Attack vektory jsou client-side (web browsers, downloads, email), physically adjacent (NFC, Bluetooth, VCards), physical (SD cards, USB on-the-go, USB Media Transfer Protocol and Picture Transfer Protocol), Gallery a dost možná další. Postižených je prý cca 950 milionů zařízení. Většina z nich - jak je u Androidu zvykem - zůstane neopravená. CVE máte v prvním linku.
https://www.kb.cert.org/vuls/id/924951
http://www.forbes.com/sites/thomasbrewster/2015/07/27/android-text-attacks/Ad 1: Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.; Ten report zcela jasne vysvetluje, ze jde problem, ktery nema obecne reseni (v zadnem operacnim systemu).
Koukněte se na iOS: aplikace se šíří výhradně přes App Store, a jsou výrazně důkladněji testované.Ad K tehle chybe z 2015 se report z roku 2014 vyjadrovat nemuze. Workaround je znamy - k první větě souhlas, ale Android měl svou dávku zranitelností i v roce 2014. Workaround pro Stagefright bug neexistuje. Možná může pomoci antivirus.
Ad Android 5 a vyssi updatuje WebView pres Google Play - což je zákazníkům jedoucím na starších Androidech k ničemu. V době objevení bugu šlo o 70% telefonů. Co k tomu říci? Snad jen kudos :)
Ad Starting with Android 4.2... - bohužel pozdě, ze stejného důvodu.
Ad U noveho Androidu se vybrane systemove komponenty instaluji pres Google Play - tuším celkem dvě komponenty :)
Ad Vyrobci (Samsung, LG, Sony) nedavno prislibili zavedeni aktualizaci - ano. Pár výrobců, a ještě s křížkem po funuse.
Ad If an update is not available for your device, manually install an OS like CyanogenMod - pokud CyanogenMod na vašem zařízení funguje, a pokud opravdu funguje. Navíc to znamená manuální instalaci, kterou nejvíce postižené skupiny zákazníků nemají šanci zvládnout. BTW ten text jste přepastil ze stránky, kde jste měl ta CVE, po kterých jste se ptal :)
Ad Google se z tech chyb poucil a nove verze na tu bezpecnost dbaji mnohem vic - podle množství recentních bezpečnosntích problémů to tak moc nevypadá. Navíc největším problémem jsou ty stovky milionů zařízení se starými verzemi, které zůstanou děravé. To Google v žádné nové verzi nenapraví.
Ad v dobe, kdy se zavadel Andoid < 4.x se mobil pro bankovni aplikace nepouzival a nikdo kriticka data v cloudu nemel. Situace se zmenila a Google na to zareagoval. - ebanking se na mobilech používá daleko delší dobu. V Androidu 4 Google už dokonce zavedl Google Wallet. Svěřit Androidu číslo karty dneska působí jako dobrý vtip :/. Google měl reagovat před lety. Pokud chce reagovat dnes, tak by měl uvést nové verze Androidu pro stará zařízení. Možná by se mu to trochu zařízlo do zisku, ale byl by to pozitivní krok. Jenže Googlu jde hlavně o příjmy z posbíraných osobních dat a cílené reklamy.
Ad Nyni je treba donutit vyrobce, aby dostatecne aktualizace byly zajisteny i u low-end modelu - to měl Google dát už před lety jako podmínku při podpisu smlouvy o Google Mobile Services. Teď se to bude fakt špatně dohánět.
Když to shrnu, tak Android je ve velkých problémech. Celkem vtipně působí snaha Googlu protlačit ho i do firemní sféry. Každému firemnímu sekuriťákovi se při slovu Android musí ježit chlupy i v místech o kterých se nemluví. Ještě vtipnější je Android Pay. Pokud se Googlu vůbec podaří napravit reputaci Androidu, bude to trvat roky.
-
Cohen (neregistrovaný)
"Každému firemnímu sekuriťákovi se při slovu Android musí ježit chlupy i v místech o kterých se nemluví."
To myslite jako na privatu? Ale jste vedle jak ta jedle. Znam nekolik velkych nadnarodnich firem, ktere presly kompletne na Google infrasrukturu, tj. Gmail, Docs atd. a nakoupily zamestnancum Android telefony. A jedna z tech firem je banka.
-
ean (neregistrovaný)
Takze to shrneme: Tvrdil jsem, ze Android 5 zavedl SELinux v enforcing modu a tim vyrazne zvysil bezpecnost. (Aplikace jsou v sandboxu a mohou delat jen to, co je jim dovoleno.) Vy jste tvrdil, ze SELinux je deravy jako reseto. Ja jsem po vas chtel, abyste uvedl CVE alespon jedne chyby v androidi implementaci SELinuxu, protoze jsem si zbezne prosel popisy aktualnich chyb a nikde jsem popis takove chyby nevidel. Vy jste uvedl Stagefright bug. To je ale chyba v multimedialni casti Androidu. Vami odkazovane dokumenty nepopisuji, ze by ta chyba umoznila obejit pravidla SELinuxu u Androidu 5 a vyssim. Takze jeste jednou: az mi uvedete CVE chyby v implementaci SELinuxu, pak uverim, ze SELinux je deravy. Pokud mi jich uvedete vic, pak uverim, ze je SELinux je deravy jako reseto. V opacnem pripade jen prekrucujete fakta.
Ad: BTW ten text jste přepastil ze stránky, kde jste měl ta CVE, po kterých jste se ptal.
Ano, pouzil jsem https://blog.zimperium.com/how-to-protect-from-stagefright-vulnerability/.
Ad: Workaround pro Stagefright bug neexistuje. Možná může pomoci antivirus.
Workaround je popsany na te strance, ze ktere jsem prekopiroval doporuceni. Jmenovite: "Disable Auto-fetching of MMS" nebo pouzit "Zimperium’s advanced mobile threat protection solution".
Ad: Navíc největším problémem jsou ty stovky milionů zařízení se starými verzemi, které zůstanou děravé. To Google v žádné nové verzi nenapraví.
Souhlasim. Google podporuje jen posledni tri verze Androidu. V soucasne dobe jsou to 4.4, 5.0 a 5.1 (http://source.android.com/devices/tech/security/overview/updates-resources.html). Na rozdil od vas si ale myslim, ze problem je hlavne na strane vyrobcu mobilu, ne na strane Google. Pro vyrobce je ekonomicky vyhodnejsi prodavat nove modely nez opravovat stare.
