En ny måte å røntge din Android-enhet på for trusler om eskalering av privilegier

Opptrapping av privilegier: Handlingen med å utnytte en designfeil eller konfigurasjonsovervåking i et operativsystem for å få økt tilgang til ressurser.

Eksperter sier at fikser er tilgjengelige for de fleste Android-privilegier-opptrapping sårbarheter. Så hva er problemet? De mottakelige enhetene blir ikke oppdatert - det er det.

Hvordan, hvorfor og når Android firmware oppdateres er et mysterium. Og folk på den "mørke siden" håper det holder seg slik. Hvis jeg var dem, ville jeg også: Millioner av telefoner med utnyttbare svakheter ved aktiv bruk - hva er det ikke å like?

Våre alternativer:

  • Jailbreak telefonen, og oppdater den deretter manuelt.
  • Kjøp en ny telefon.

Hvordan fungerer det for deg?

Trenger bevis

Jeg holdt en foredrag om denne conundrum forrige uke. Etterpå nevnte en veteran IT-sjef: "Det du sier kan være sant, men med mindre jeg har bevis på, er det ingenting jeg kan gjøre." Hun hadde rett. Og jeg hadde ikke svar - før i dag.

Det er dette lille IT-selskapet i Ann Arbor, Michigan som heter Duo Security. De kan være små i størrelse sammenlignet med andre innbyggere i Ann Arbor - Arbor Networks og Barracuda Networks, men de gjør opp for det i staben hestekrefter.

Tenk for eksempel på de to medstifterne, Dug Song og Jon Oberheide. Det er Dug, på nært hold og personlig med Android (til høyre), mens Jon lurer på hvorfor de tok av seg treningshjulene (nedenfor).

Jeg blir seriøs nå. Dug, Jon og personalet på Duo Security er godt klar over mysteriet om Android-oppdateringen og brukerne vet ikke om versjonen av Android er sårbar eller ikke. Så de gjorde noe med det.

X-Ray

Det de gjorde var å lage X-Ray, en sårbarhetsskanner for mobile Android-enheter. Og det debuterer i dag . Så du kan forestille deg hvor opptatt Jon og de andre har sørget for at røntgen er klar.

Men jeg hadde noen spørsmål jeg trengte å svare på for denne artikkelen. Så jeg vri armen til Jon og nevnte at jeg kunne si langt verre om sykkelferdighetene hans.

Kassner : Hei, Jon. Gratulerer med utgivelsen av X-Ray. Kan du gi mer detaljer om hva X-Ray gjør? Oberheide : Jeg vil starte med å forklare hvorfor sårbarheter ikke fikses, og hvorfor vi følte det som viktig å lage røntgenbilder.

Når du kjøper en Android-enhet, kontrollerer en rekke parter foruten Google, inkludert transportører, produsenter og andre tredjeparter, den installerte programvaren. Når det oppdages et sikkerhetsproblem, bør prosessen være:

  • En patch er utviklet.
  • En Over-the-Air-oppdatering må skyves ut til alle de berørte enhetene.

Brukeren er på transportøren for å levere lappen på rett tid til brukerne sine.

Dessverre har transportører konsekvent ikke klart å rulle ut sikkerhetsoppdateringer. Det er lite insentiv for dem å bruke ressursene som kreves for å utvikle, teste og distribuere patcher og nye Android-versjoner til brukerne sine, spesielt når de kan tjene penger ved å tvinge brukere til å kjøpe nye enheter for å få nyere firmware.

Mens Google har forsøkt å forbedre situasjonen med Android Update Alliance, har mange ansett innsatsen som en fiasko. Sluttresultatet er at brukerne forblir sårbare i flere måneder etter at en utnyttelse ble avslørt og utnyttet aktivt i naturen. Årsaken til at malware utnytter Android-sårbarheter er å eskalere privilegier og ta full kontroll over den mobile enheten.

X-Ray tar sikte på å gi brukerne synlighet til de useprede sårbarhetene på enheten deres. Selv om X-Ray ikke kan rette opp sårbarhetene, gir den informasjon om hvilke sårbarheter som kan utnyttes av ondsinnede apper.

Kassner : Jon, jeg ser at appen ikke er i Play Store. Hvorfor det? Hvordan får vi røntgenbilder?

Oberheide : X-Ray kan lastes ned ved å besøke X-Ray nettstedet eller bruke QR-koden.

X-Ray distribueres ikke gjennom Play Store på grunn av problemer med Googles tjenestevilkår. I følge Google er ikke sikkerhetstestingverktøy som søker etter firmwaresårbarheter tillatt i Google Play.

Kassner : Selv med sårbarheter, tenkte jeg at brukeren måtte gi tillatelse til at en app kan installeres, hvordan fungerer dette? Oberheide : Sårbarhetene som blir oppdaget av røntgenbilder kan utnyttes av ondsinnede parter i et par forskjellige scenarier:
  • Det vanligste angrepet er når en bruker installerer en ondsinnet app, og den appen utnytter et av disse sikkerhetsproblemene for å eskalere privilegiene.
  • Et mindre vanlig forsøk, men fortsatt gjennomførbart, spesielt i målrettede angrep, er når en bruker besøker et ondsinnet nettsted som utnytter Android-nettleseren for å først få kodeutførelse. Deretter brukes en privilegium-opptrapping utnyttelse for å ta full kontroll over telefonen.

Når det gjelder ditt poeng, er vi bekymret for skadelig programvare som kan utnytte sårbarheter uten å kreve tillatelse, så brukere er ute av løkka.

Kassner : Røntgenoppdaget sårbarheter på testtelefonen min. Men det gjør fremdeles alt jeg vil. Hva er betydningen?

Oberheide : Sikkerhet er sjelden noe som påvirker sluttbrukeren før det er for sent. Til tross for at den er sårbar, kan det hende at telefonen gjør alt du vil. Selv etter at du har installert en ondsinnet app som utnytter en sårbarhet, kan det hende at telefonen fortsatt fortsetter å gjøre alt du vil. Forskjellen er at telefonen din nå gjør alt en angriper ønsker. Kassner : Hva er våre valg hvis X-Ray finner sårbarheter? Oberheide : Det er noen få alternativer:
  • Brukeren kan se etter tilgjengelige offisielle oppdateringer fra operatøren, vanligvis ved å gå til Innstillinger> Om telefon> Systemoppdateringer.
  • Selv om det kanskje ikke resulterer i en umiddelbar utbedring, oppfordrer vi brukere til å kontakte leverandøren deres om tilgjengeligheten av en oppdatering for sårbarheter som er oppdaget av X-Ray.
  • Hvis ingen offisielle operatøroppdateringer er tilgjengelige, kan brukeren installere et tredjeparts Read Only Memory (ROM) - for eksempel CyanogenMod - som kan ha løst sikkerhetsproblemene. Det er verdt å merke seg at noen tredjeparts ROM-er kan introdusere sine egne sårbarheter, så brukerne bør utforske dette alternativet med forsiktighet.

Hvis alt annet mislykkes, lar X-Ray brukeren forstå risikoen. Hvis brukeren forstår en ondsinnet app de laster ned kan ta full kontroll over enheten sin, vil de kanskje være mer forsiktige med appene de laster ned og installerer.

Kassner : Jeg ser at Dug og du er tidligere ansatte i Arbor Network. Er det der du møttes? Hvilke fremtidsplaner er i vente for Duo? Oberheide : Vi møttes litt før Arbor og har planlagt siden for å riste opp sikkerhetsbransjen. Hos Duo har vi tatt en ny tilnærming til tofaktorautentisering som slo et akkord med folk som er lei av en teknologi som har stått stille i flere tiår og alle hater å bruke. Vi har mye mer i røret, og fortsetter vår søken etter å gjøre sikkerhetsteknologi enkel å distribuere og bruke.

Siste tanker

Når forskere finner feil i programvaren, fikser utvikleren dem og bruker noen midler for å oppdatere alle aktive kopier. Legg merke til hvor ofte Android-appene dine oppdateres. Det har vært prosessen i mange år. Uansett årsak følger ikke Android firmware. Har du det bra med det?

Jeg vil takke Dug, Jon og mannskapet på Duo Security for å opprette røntgenbilder og hjelpe til med denne artikkelen.

© Copyright 2020 | mobilegn.com