Zranitelnost v systému Android umožňující eskalaci práv

Tahle chyba se netýká jen třídy OpenSSLX509Cer­tificate, ale obecně automatické deserializace dat zaslaných útočníkem, nefungujícího ASLR a špatně nastaveného SELinuxu.

Ne pokud ke stazeni toho kodu dojde az dodatecne, jak je zmineno ve zpravicce.

Problém je, že si instaluješ aplikaci A, která je čistá a dostane práva X.
Přidáš aplikaci B, která je v pořádku a potřebuje práva Y.

Když vyjde aktualizace B, má přibalenou ještě "aktualizaci" A. Z toho update se instaluje oboje a bajendou má B k dispozici práva X+Y...

jak to čtu, vypadá to, že to má ještě horší důsledek. Chybu lze využít i přes reklamní banery, které bývají v některých "zdarma" aplikacích. Vlastník aplikace tedy nemusí být tím zlým...

To si pletete s nedávnou chybou v iOS, kde aktualizace nekontrolovaly certifikáty. Tahle chyba funguje jinak. Aplikace B pošle zprávu System Serveru, který ji deserializuje. Přitom může podstrčit ukazatel na nativní funkci, kterou spustí finalizer, protože ten ukazatel zapomněl autor označit jako transient (tzn. přenese se při serializaci). To by normálně moc nevadilo, protože díky ASLR by ta aplikace nedokázala najít, kde se požadovaná funkce nachází, takže by to „jen“ shodilo System Server, ale ASLR kvůli implementaci Zygote na Androidu nefunguje. System Server pak tahle funkce může instruovat k přepsání APK aplikace A za APK s malwarem, včetně možného stažení z internetu (chyba v nastavení SELinuxu, neměl by mít možnost jej přepsat). Žádná aktualizace aplikace B k vyvolání té chyby není potřeba a ten malware vůbec nemusí být přibalen k aplikaci B a projít přes Google Play.

To byla první věc, co mě napadla. Takže je třeba v tom vidět i pozitiva. :D

any unprivileged process or app could obtain a user's fingerprints
On some phones, the sensor is integrated into the home button, potentially making it possible to obtain prints each time someone touches the button.
http://arstechnica.com/security/2015/08/severe-weaknesses-in-android-handsets-could-leak-user-fingerprints/

Bezpečnostní situace na Androidu mi připadá dlouhodobě kritická. Jak může uživatel smartphonu s Androidem svěřit cokoliv soukromého, napsat do něj heslo, používat ebanking, nebo mu dokonce svěřit číslo kreditky? Navíc to nejspíš ani nejde opravit, protože Android v mnoha verzích běží na 24000 modelů telefonů od 1000 výrobců. Řada výrobců na aktualizace úplně kašle, další je dodávají zatraceně krátkou dobu. Google dovedl svoji platformu do pěkného průšvihu.
http://www.ibtimes.co.uk/android-smartphone-boom-sees-over-24000-distinct-models-use-worldwide-1514342

No co si budeme povídat, v historii byly jenom tři nebezpečnější systémy - Windows ME, Windows 98 a Windows 95

Pro ty alespoň MS vydával patche přes Windows Update. To že je spousta lidí neinstalovala už je jiná :/

Myslím tím bombasticky přístupový práva pro uživatele k disku ve FAT32 a defaut usera, na kterýho ses přihlásil prostým stornováním login dialogu a měl stejný práva, jako na tučňákovi root.Pokud vím, tenhle průšvih žádná záplata nezalepila... A vše s M$IE a "Internet ready"

Jinak NeandrtalTechnology už šly, to už bylo na úrovni Androida...Viděl jsem tehdy u plebsu na lince (ještě v předchozí firmě), jak slovenský brigádník vlezl na noční z plebs účtu bez práv na porno chat za 23 sekund. A co je horší, ten dacan to během týdne naučil i ostatní...

Jistě. Uživatelské účty byly do Win9x dodělány za účelem sdílení počítače například v rodině, aby mohl mít každý uživatel svůj desktop a svůj adresář dokumentů. O plné oddělení kontextů nikdy nešlo, od toho tu byla řada NT.

Ad brigádník vlezl na noční z plebs účtu bez práv na porno chat za 23 sekund - samozřejmě spustit browser z "plebs účtu" není problém. A pokud to zakážete špatným způsobem, tak to lze obejít.

Taková ale byla doba. Někdy kolem roku 1996 jsem se na VŠ trochu přel o bezpečnosti Linuxu s jeho velkým zastáncem. Jednou už jsem to nevydržel, nabootoval na jeho serveru live CD (nebo to byla disketa?) a vypsal mu /etc/shadow. To nestačilo, tak jsem mu tam ještě na cosi nastavil suid bit. Teprve pak alespoň částečně přiznal, že když se dostanu k tomu stroji fyzicky, tak má problém.

Dnes je situace jiná. Předpokládám, že na svém PC máte zaheslovaný BIOS a zakázané bootování z jiných zařízení než HDD. A že filesystém máte chráněný heslem. Já stále ještě používám TrueCrypt, co vy?

Jaké posměšky? Ani náznakem. Jen konstatuji neradostný stav věci:
- Špatně navržená platforma. Když dáte aplikacím například možnost bez dotazu posílat SMS a provádět volání, tak se nutně vynoří malware, který toho zneužívá. Nemluvě o spoustě trestuhodných chyb v implementaci.
- Špatně vytvořený ekosystém, který způsobuje, že stovky milionů zákazníků mají trvale děravé telefony.

Nechapem co s tym ma google? Ten vydal OS a pouziva ho vo svojich zariadeniach nexus kde ho aj aktualizuje. Stazovat by ste sa skor mal na vyrobcov, ktory maju stale neuveritelnu potrebu vsetko menit a prisposobovat, co by este az tak nevadilo ale oni zvysoka kaslu na aktualizacie, radsej nech si dotycny kupi novy telefon. Alebo si myslite, zeby nedokazali aktualizovat svoje vyrobky aj 5-8 rokov co je asi max. zivotnost takychto zariadeni? V tomto je Google skutocne nevinne a nema ako ani pomoct. Maslo na hlave maju vyrobcovia a casto aj operatori. Tam treba ist plakat.

Inak napisat nieco sukromneho, ci heslo k ebankingu alebo dokonca cislo kreditky, by som si nedovolil na novych win 10. Aj ked tam je to isto v poriadku, ved M$ moze disponovat sukromnymi informaciami.

Nexusy dostávají nový Android po dva roky, a bezpečnostní záplaty 3 roky od začátku prodeje a nejméně 18 měsíců po ukončení prodeje. Ostatní zařízení vyrobená v partnerství s Googlem (Android One devices, Google Play edition devices) minimálně 18 měsíců od zahájení prodeje zařízení. Zbytek světa jak si výrobce usmyslí, často bez updatů.
https://support.google.com/playedition/answer/4457705?hl=en&ref_topic=3450794

Google s tím má společné to, že Android je jeho platforma a jeho značka. Na způsob garantování bezpečnostních aktualizací (a mimochodem bezpečnost produktu jako takového) měl Google myslet hned na začátku. Díky špatné policy Googlu jsou stovky milionů uživatelů telefonů s Androidem nyní v situaci, kdy jsou jejich telefony děravé, a nikdo s tím nic neudělá. Přitom jde v řadě zemí o uživatele, pro které je smartphone drahý jako pro vás auto, takže si nový jen tak nekoupí.

Nové Windows 10 jsou v pohodě. Nedoporučoval bych ukládat citlivé informace do jakéhokoliv cloudu, včetně toho od MS. Můžete to samozřejmě srovnávat s tím jak Google získává data pomocí Androidu. Ale těžko to můžete srovnávat s tím bezpečnostním ementálem, kterým se platforma Android postupně stala.

Nerozumiem. Ved google vydava opravy androidu, tak co s tym teda ma spolocne? Ako som uz pisal, mal by ste sa skor stazovat na policy vyrobcov, pretoze oni android menia a upravuju cim si sami stazuju pripadne updatovanie. Vela krat su tie ich zmeny skor skodlive a nie vzdy dobre otestovane a to dokonca aj u premiovych znaciek. Google iba vyvija svoj produkt a reaguje na hrozby. Ze ich neopravuju aj ostatny je cisto iba ich rozhodnutie a ich problem. Nikomu nic nebrani urobit support pre mobil aj na 10 rokov. Lenze oni potrebuju tocit bubaky a preto urobia support tak na rok.

Skor by sa mali vyrobcovia ucit od takych skautov ako je cinanci (xiaomi) ci CM, ktory svoje produkty updatuju a nie len 1x za mesiac ale vtedy ked je to potrebne. Tam tieto velke zranitelnosti nie su.

Preto ako som uz pisal treba plakat na inom hrobe, nie u Googlu.

Tak android si aspon nepamata sifrovacie kluce na cloude. Inak vasim vyhlasenim idete dost proti filozofii M$, ze chce mat vsetky produkty ako sluzbu a aj cely OS by tak najradsej urobili. Ved to bol davny sen Billa Gatesa pokial viem.

Ad google vydava opravy androidu - bohužel Google s klidem oznámí, že neudělá záplatu na bezpečnostní problém, který se týká 60% telefonů.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/

Ad android si aspon nepamata sifrovacie kluce na cloude - tady nevím co konkrétně máte na mysli.

Ad vsetky produkty ako sluzbu a aj cely OS by tak najradsej urobili. Ved to bol davny sen Billa Gatesa - Bill Gates je sice známý "otec internetu" :), ale o tomhle jeho snu nevím.

To je ale alibismus. Google poměrně hodně svazuje výrobce, kterým licencuje Google služby a v posledních letech s pravidly značně přitvrdil. Takže je zcela mimo mísu tvrdit, že nemá páky k tomu, aby situaci ovlivnil.

Jasně, kdybychom se tu bavili o výrobcích, kteří integrují nějaký alternativní obchod s aplikacemi a nepoužívají Google Play, tak ok, Google je z obliga. Ale pro smluvní partnery bylo cest dost. Kdybychom šli hodně daleko, tak mohl Google vynutit i univerzální sadu kernelů.

Jo, zato bezpecnosti situace na widlich, kde se spoustej prilohy mailu, obrazky ... desitky let ...

Ono to s Windows Phone není o mnoho lepší:
http://betanews.com/2013/08/07/microsoft-warns-windows-phone-users-not-to-use-wifi-wait-what/

Včetně toho kašlání na starší zařízení:
http://wmpoweruser.com/internet-explorer-on-windows-phone-8-1-has-a-security-flaw-and-its-kinda-serious/

Ten první problém se týká firemních WiFi, a řeší se validací certifikátu. Ten druhý problém je "problém".
https://technet.microsoft.com/library/security/2876146

Takže je fajn, že linkujete jeden nekritický bezpečnostní problém. Android ale má hromady kritických. A má API, které si říká o zneužití. A má ekosystém, který nechává uživatele nezáplatované, i když Google nějaký patch vydá. A k tomu Google nemá problém říct, že nevydá patch na verze Androidu, na kterých běží 60% jeho telefonů.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/

Pokud chcete srovnávat, tak v oblasti bezpečnosti vede Windows Phone, za ním je iOS, pak dlouho nic, a nakonec Android.

Ten první problém se týká firemních WiFi, a řeší se validací certifikátu

To je taky typické řešení á la MS. Místo aby MS konečně přestal používat prolomené MS-CHAPv2, tak doporučuje sledovat, s kým ten telefon komunikuje.

A má ekosystém, který nechává uživatele nezáplatované, i když Google nějaký patch vydá. A k tomu Google nemá problém říct, že nevydá patch na verze Androidu, na kterých běží 60% jeho telefonů.

Google řekl, že telefony s takto starým Androidem mají provést upgrade na novější Android. MS už také nevydává aktualizace pro Windows Phone 7 či 8.0.

Jsem zvědavý, kdy vyjde Windows Phone 8.1 Update 2 pro Lumie druhé generace (Android 4.3 je stejně starý). MS na rozdíl od Googlu strašně mlží, které telefony vlastně ještě podporuje.

Pokud chcete srovnávat, tak v oblasti bezpečnosti vede Windows Phone, za ním je iOS, pak dlouho nic, a nakonec Android.

Tak určitě

Ad místo aby MS konečně přestal používat prolomené MS-CHAPv2, tak doporučuje sledovat, s kým ten telefon komunikuje - pár detailů:
1. PEAP je dvoufázový autentikační protokol. Nejprve se vytvoří TLS tunel, a skrz něj se provede vlastní autentizace. Použití MS-CHAPv2 (teoreticky klidně plain textu) je v pořádku, pokud je bezpečný ten TLS tunel, který byl navržen právě za účelem "schování" méně bezpečné autentizace.
2. Pokud se nekontroluje certifikát serveru, je možné na ten TLS tunel použít MITM attack. V takovém případě MS-CHAPv2 pochopitelně coby velmi starý protokol neodolá.
3. Windows Phone 8 nevyžadovaly by default validaci certifikátu serveru. Stejně ji nevyžaduje ani Android a iOS.
http://www.apsu.edu/helpdesk/facultystaff-wireless-android
4. Windows Phone 8.1 mají nástroje pro vzdálenou správu, které umožňují nastavit WiFi profil, včetně ověřování certifikátů.
https://technet.microsoft.com/en-us/windows/dn771707.aspx
4. K PEAP-MS-CHAPv2 neexistuje moc alternativ. Můžete použít PEAP-TLS, ale to věšinou vyžaduje vystavovat i klientské certifikáty.

Ad telefony s takto starým Androidem mají provést upgrade na novější Android - což jich stovky milionů nemůžou, protože pro ně výrobce novou verzi Androidu nepřipraví. Takže je Google prostě hodil přes palubu stovky milionů uživatelů jeho platformy.

Ad kdy vyjde Windows Phone 8.1 Update 2 pro Lumie druhé generace - GDR1 i GDR2 jsou feature updates, nikoliv bezpečnostní updaty. A podle všeho se na ně dostane Windows Mobile 10. Na mojí Lumii 820 mi úspěšně běží beta WM10.

Ad Tak určitě - a četl jste to? The fact that fewer vulnerabilities are discovered in Android should under no circumstances be misinterpreted to imply that Android OS is more secure than iOS... Apple... discover[s] and patch[es] security problems much faster than Google.

Ad: Bezpečnostní situace na Androidu mi připadá dlouhodobě kritická.

Situace se zacala menit, velci vyrobci budou poskytovat bezpecnostni aktualizace: http://www.wired.com/2015/08/google-samsung-lg-roll-regular-android-security-updates/ .

Zvysene mnozstvi odhalenych bezpecnostnich chyb muze souviset se snahou Androidu proniknout na trh firemnich telefonu (https://www.android.com/work/). Proste se zacalo delat vic jeho bezpecnostnich auditu.

Hadam, ze vyrobci levnych androidich mobilu "na jedno pouziti" zadne aktualizace v dohledne dobe vydavat nebudou. Ale drazsi mobily a mobily urcene pro podnikove zakazniky je dostavat budou.

Je samozřejmě fajn, že někteří velcí výrobci budou poskytovat každý měsíc patche (BTW nevidím poznámky, že patchovat jen jednou za měsíc je blbost, i když přesně tak diskutéři hodnotí Patch Tuesday od Microsoftu). Bohužel ne všichni výrobci, a kdo ví jak dlouho budou zařízení podporovat. Navíc mléko je už rozlité. Ty stovky milionů smartphonů nikdo neopatchuje. A nejvíc trvale děravých telefonů zůstane v rukou lidem, kteří nemají technické znalosti a/nebo peníze, tedy těm nejzranitelnějším. BTW už i český T-Mobile začal blokoval MMS.

Pokud jde o Android a firemní trh, tak se domnívám, že tahle vlna bezpečnostních problémů (spolu s designem celé platformy Android) nebude zákazníky zrovna dvakrát motivovat. To už je asi víc přesvědčí to co nabízí MS: vzdálená správa integrovaná do podnikových nástrojů, integrace s MS Exchange, MS Office, SharePointem atd., možnost běžet ty samé aplikace na desktopu i telefonu, a samozřejmě bezpečnost. Uvidíme, můžeme se oba nechat překvapit :). Tenhle boj teprve probíhá.

Myslím, že co se týče soukromí uživatelů, Microsoftu se podařilo teprve nyní s Windows 10 dosáhnout na Android.

jsem laik ale nemohl by google zahrnout ty bezpecnostni zaplaty proste jako soucast aktualizace beznych aplikaci treba pod aktualizaci GooglePlayServices ?

byl by to takovy workaround, rekl bych ze vetsina android useru zakladni aplikace od googlu ma nainstalovane

Otázkou je, zda má o něco takového zájem. Technicky přeci nic nebrání tomu, aby z tří vrstev (jádro+ovladače, systém + api, aplikace) byly ty nejvyšší dvě nezávisle aktualizovatelné. Jádro a ovladač nechť si bastlí výrobce a to nad tím nechť je práce Google.
Ale výrobci elektroodpadu by jentak nezkousli, že na 4 roky starém telefonu (např Samsung Galaxy a 5.1) je nový OS.

Není to nic jiného, než řízené zastarávání výrobku.

Technicky tomu brání např. to, že úpravy pro zařízení nejsou jen vlastní jádro, a to, že novější API často vyžaduje novější jádro.

Ad: nemohl by google zahrnout ty bezpecnostni zaplaty proste jako soucast aktualizace beznych aplikaci treba pod aktualizaci GooglePlayServices ?

Uz to pro vybrane komponenty dela.

Pro ostatni diskutery: Nelibi se mi, ze mistni diskuze ma strasnou uroven. Soucasny Android pouziva SELinux, vybrane systemove komponenty (SSL, WebView) se updatuji z Google Play, podporuje sifrovani uzivatelskych dat, ... Kdo srovnava bezpecnost Androidu a Windows je uplne mimo. Doporucuji napred si precist https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf a teprve pak se vyjadrovat.

Bylo by prima, kdyby do diskuzi prispivali i lide, kteri do Androidu vidi, ne jen bezni uzivatele a zamestnanci Microsoftu, jejich cilem je zvysit prodavanost MS produktu. Pokud nekoho takoveho znate, tak mu dejte vedet. Jinak se kvalita techto diskuzi nezlepsi.

To je sice krásné, nicméně když v tom máte tak jasno, tak nám osvětlete, jak protlačí Google opravy aktuálních zranitelností na již vydaná zařízení. Protože to je oč tu běží.

Tak jsem si Váš odkaz pročetl (díky za něj) a nenašel jsem v něm nic, co by mě nějak zásadně překvapilo. V zásadě jde o řadu svěžích zpěvných čísel, které říkají, s jakými hrozbami se Google v roce 2014 setkal a jak na ně reagoval. Je tam pár vět o rozvoji ve verzi 4.4 a 5.0, opět nic světoborného. Android ve verzi 5.0 obsahuje dvě(!) systémové komponenty, které se aktualizují z Play. To je fajn, tedy pokud je vývojáři používají.