Eine neue Möglichkeit, Ihr Android-Gerät auf Bedrohungen durch die Eskalation von Berechtigungen zu röntgen

Eskalation von Berechtigungen : Das Ausnutzen eines Konstruktionsfehlers oder einer Konfigurationsüberwachung in einem Betriebssystem, um einen erhöhten Zugriff auf Ressourcen zu erhalten.

Experten sagen, dass Korrekturen für die meisten Sicherheitslücken bei der Eskalation von Android-Berechtigungen verfügbar sind. Also, was ist das Problem? Die anfälligen Geräte werden nicht aktualisiert - das ist was.

Das Wie, Warum und Wann der Android-Firmware aktualisiert wird, ist ein Rätsel. Und die Leute auf der "dunklen Seite" hoffen, dass es so bleibt. Wenn ich sie wäre, würde ich auch: Millionen von Telefonen mit ausnutzbaren Schwächen im aktiven Gebrauch - was mag man nicht?

Unsere Möglichkeiten:

  • Jailbreak des Telefons, dann manuell aktualisieren.
  • Kaufen Sie ein neues Telefon.

Wie ist das für dich?

Brauche Beweise

Ich habe letzte Woche einen Vortrag über dieses Rätsel gehalten. Danach sagte ein erfahrener IT-Manager: "Was Sie sagen, mag wahr sein, aber wenn ich keine Beweise habe, kann ich nichts tun." Sie hatte recht. Und ich hatte keine Antwort - bis heute.

In Ann Arbor, Michigan, gibt es dieses kleine IT-Unternehmen namens Duo Security. Sie mögen im Vergleich zu anderen Bewohnern von Ann Arbor - Arbor Networks und Barracuda Networks - klein sein, aber sie machen dies in Bezug auf die Leistung des Personals wieder wett.

Betrachten Sie zum Beispiel die beiden Mitbegründer Dug Song und Jon Oberheide. Das ist Dug, ganz nah bei Android (rechts), während Jon sich fragt, warum sie die Stützräder abgenommen haben (siehe unten).

Ich werde es jetzt ernst. Dug, Jon und die Mitarbeiter von Duo Security sind sich des Rätsels um Android-Updates bewusst und Benutzer wissen nicht, ob ihre Android-Version anfällig ist oder nicht. Also haben sie etwas dagegen unternommen.

Röntgen

Sie haben X-Ray erstellt, einen Schwachstellenscanner für mobile Android-Geräte. Und es debütiert heute . Sie können sich also vorstellen, wie beschäftigt Jon und die anderen dafür gesorgt haben, dass X-Ray bereit ist.

Aber ich hatte einige Fragen, die ich für diesen Artikel beantworten musste. Also drehte ich Jons Arm und erwähnte, dass ich viel schlimmeres über seine Fahrradfähigkeiten sagen könnte.

Kassner : Hey, Jon. Herzlichen Glückwunsch zur Veröffentlichung von X-Ray. Können Sie näher erläutern, was Röntgen tut? Oberheide : Zunächst möchte ich erklären, warum Schwachstellen nicht behoben werden und warum es uns wichtig war, Röntgenbilder zu erstellen.

Wenn Sie ein Android-Gerät kaufen, steuern neben Google eine Reihe von Parteien, einschließlich der Netzbetreiber, Hersteller und anderer Dritter, die installierte Software. Wenn eine Sicherheitslücke entdeckt wird, sollte der Prozess wie folgt aussehen:

  • Ein Patch wird entwickelt.
  • Ein Over-the-Air-Update muss an alle betroffenen Geräte gesendet werden.

Es liegt in der Verantwortung des Betreibers, den Patch rechtzeitig an seine Benutzer zu liefern.

Leider haben die Netzbetreiber Sicherheitspatches immer wieder nicht eingeführt. Sie haben kaum einen Anreiz, die für die Entwicklung, das Testen und die Bereitstellung von Patches und neuen Android-Versionen erforderlichen Ressourcen für ihre Benutzer aufzuwenden, insbesondere wenn sie Geld verdienen können, indem sie Benutzer zum Kauf neuer Geräte zwingen, um neuere Firmware zu erhalten.

Während Google versucht hat, die Situation mit der Android Update Alliance zu verbessern, haben viele die Bemühungen als Fehlschlag angesehen. Das Endergebnis ist, dass Benutzer Monate nach der Veröffentlichung eines Exploits verwundbar bleiben und in freier Wildbahn aktiv ausgenutzt werden. Der Grund, warum Malware Android-Schwachstellen ausnutzt, besteht darin, die Berechtigungen zu erweitern und die vollständige Kontrolle über das mobile Gerät zu übernehmen.

X-Ray soll Benutzern Einblick in die nicht gepatchten Sicherheitslücken auf ihrem Gerät geben. X-Ray kann die Sicherheitsanfälligkeiten zwar nicht patchen, bietet jedoch Informationen darüber, welche Sicherheitsanfälligkeiten von bösartigen Apps ausgenutzt werden können.

Kassner : Jon, ich sehe, dass die App nicht im Play Store ist. Warum das? Wie bekommen wir Röntgen?

Oberheide : X-Ray kann heruntergeladen werden, indem Sie die X-Ray-Site besuchen oder den QR-Code verwenden.

X-Ray wird aufgrund von Problemen mit den Nutzungsbedingungen von Google nicht über den Play Store verbreitet. Laut Google sind Sicherheitstest-Tools, die nach Firmware-Schwachstellen suchen, in Google Play nicht zulässig.

Kassner : Trotz Schwachstellen dachte ich, der Benutzer muss die Erlaubnis zur Installation einer App erteilen. Wie funktioniert das? Oberheide : Die von X-Ray erkannten Sicherheitslücken können von böswilligen Parteien in verschiedenen Szenarien ausgenutzt werden:
  • Der häufigste Angriff ist, wenn ein Benutzer eine bösartige App installiert und diese App eine dieser Sicherheitsanfälligkeiten ausnutzt, um ihre Berechtigungen zu erweitern.
  • Ein weniger häufiger, aber dennoch praktikabler Versuch, insbesondere bei gezielten Angriffen, besteht darin, dass ein Benutzer eine schädliche Website besucht, die den Android-Browser ausnutzt, um zuerst Code auszuführen. Als Nächstes wird ein Exploit zur Eskalation von Berechtigungen verwendet, um die vollständige Kontrolle über das Telefon zu übernehmen.

In Bezug auf Ihren Standpunkt sind wir besorgt über Malware, die Schwachstellen ausnutzen kann, ohne dass eine Erlaubnis erforderlich ist, sodass Benutzer nicht auf dem Laufenden sind.

Kassner : X-Ray hat Schwachstellen auf meinem Testtelefon entdeckt. Aber es macht immer noch alles was ich will. Welche Bedeutung hat das?

Oberheide : Sicherheit ist selten etwas, das den Endbenutzer betrifft, bis es zu spät ist. Obwohl Ihr Telefon anfällig ist, kann es alles tun, was Sie wollen. Selbst nachdem Sie eine bösartige App installiert haben, die eine Sicherheitsanfälligkeit ausnutzt, kann Ihr Telefon weiterhin alles tun, was Sie wollen. Der Unterschied ist, dass Ihr Telefon jetzt auch alles tut, was ein Angreifer will. Kassner : Wenn X-Ray Schwachstellen findet, welche Entscheidungen treffen wir? Oberheide : Es gibt einige Möglichkeiten:
  • Der Benutzer kann nach verfügbaren offiziellen Updates von seinem Netzbetreiber suchen, normalerweise unter Einstellungen> Über das Telefon> Systemupdates.
  • Dies führt möglicherweise nicht zu einer sofortigen Behebung. Wir empfehlen Benutzern jedoch, sich an ihren Netzbetreiber zu wenden, um Informationen zur Verfügbarkeit eines Patches für von X-Ray erkannte Sicherheitslücken zu erhalten.
  • Wenn keine offiziellen Carrier-Updates verfügbar sind, kann der Benutzer einen Nur-Lese-Speicher (ROM) eines Drittanbieters (z. B. CyanogenMod) installieren, der möglicherweise die Sicherheitsanfälligkeiten behoben hat. Es ist erwähnenswert, dass einige ROMs von Drittanbietern möglicherweise eigene Sicherheitslücken aufweisen. Daher sollten Benutzer diese Option mit Vorsicht prüfen.

Wenn alles andere fehlschlägt, ermöglicht X-Ray dem Benutzer, das Risiko zu verstehen. Wenn der Benutzer versteht, dass eine von ihm heruntergeladene bösartige App die volle Kontrolle über sein Gerät übernehmen kann, ist er möglicherweise vorsichtiger in Bezug auf die Apps, die er herunterlädt und installiert.

Kassner : Ich sehe, dass Dug und Sie ehemalige Mitarbeiter von Arbor Network sind. Hast du dich dort getroffen? Welche Zukunftspläne stehen für das Duo an? Oberheide : Wir haben uns kurz vor Arbor getroffen und planen seitdem, die Sicherheitsbranche aufzumischen. Bei Duo haben wir einen neuen Ansatz für die Zwei-Faktor-Authentifizierung gewählt, der bei Leuten Anklang gefunden hat, die eine Technologie satt haben, die seit Jahrzehnten stagniert und die jeder hasst, sie zu verwenden. Wir haben noch viel mehr vor uns und setzen unser Bestreben fort, die Bereitstellung und Verwendung von Sicherheitstechnologien zu vereinfachen.

Abschließende Gedanken

Wenn Forscher Fehler in der Software feststellen, behebt der Entwickler diese und verwendet einige Mittel, um alle aktiven Kopien zu aktualisieren. Beachten Sie beispielsweise, wie oft Ihre Android-Apps aktualisiert werden. Das ist seit Jahren der Prozess. Aus irgendeinem Grund folgt die Android-Firmware nicht diesem Beispiel. Bist du damit einverstanden?

Ich möchte Dug, Jon und der Crew von Duo Security dafür danken, dass sie X-Ray erstellt und bei diesem Artikel geholfen haben.

© Copyright 2021 | pepebotifarra.com