¿Cuál es el impacto de la vulnerabilidad de integridad de Bluebox Android APK?

Question

¿Cuál es el impacto de la vulnerabilidad de integridad de Bluebox Android APK?

#1 de Pete (1 votos)
#2 de Ben (0 votos)

4

Bluebox tiene recientemente revelada una vulnerabilidad (error de seguridad de Android 8219321) en Android , es decir, obtener un lote de cobertura en los medios de comunicación.

El título de la publicación es "Descubriendo la clave maestra de Android". Supongo que esto es solo un título amigable para los medios de comunicación y que no se incluye una clave maestra.

De lo que han revelado hasta ahora, permite

Modificación del código APK sin romper la firma criptográfica

Tomando esto como valor nominal, si es posible tomar una aplicación de Android (APK) firmada y modificarla sin invalidar la firma, ¿qué ataques prácticos son posibles?

¿Cuál es el riesgo para un usuario típico de Play Store solo (probablemente solo instale resultados de búsqueda de alto rango y aplicaciones destacadas en Play Store)?

Algunas preguntas más específicas:

Dado un APK firmado con validez (modificado maliciosamente), ¿cuáles son las barreras para obtener la versión legítima de Play Store de la aplicación actualizada con ese archivo?
¿Un atacante de hombre en el medio (por ejemplo, un punto de acceso wifi malicioso) podría explotar la actualización automática de cualquier manera (esto podría ser, ¿los archivos APK se entregan a través de HTTPS?)
Indican que una aplicación firmada que parece provenir del fabricante del dispositivo permite el acceso total al sistema. ¿Son estos permisos diferentes al sistema de permisos de Android normal? ¿Como funciona? ¿Se entregan las actualizaciones del sistema como archivos APK y hay algún riesgo aquí?
¿En qué medida ayuda esto a los ataques de phishing? ¿Es de suponer que un usuario todavía debería habilitar la instalación desde "fuentes desconocidas"?

Aprecio que en este punto los detalles completos de la vulnerabilidad no estén disponibles públicamente *, por lo que estoy buscando respuestas basadas en la cita anterior, y posiblemente extrapolando información adicional de cualquier otra cosa que Bluebox haya dicho o de otras fuentes acreditadas. .

_{* presumiblemente, si este error se solucionó en las actualizaciones publicadas públicamente, descubriremos rápidamente qué hay de las personas que analizan los deltas en el área de verificación de APK.}

android known-vulnerabilities code-signing

pregunta Michael 05.07.2013 - 22:28

fuente

2 respuestas

Lea otras preguntas en las etiquetas android known-vulnerabilities code-signing

Las mejores maneras de conservar la información del cliente de la licencia en la base de datos SNMPv2 y seguridad de la comunidad

score 1 · Answer 1

Me gustaría agregar al comentario de Ben que la posibilidad de implantar código hostil en lo que se supone que es una aplicación confiable no requiere acceso físico, un ataque de ingeniería social que involucra la carga lateral de una aplicación actualizada (por ejemplo, Mapas) desde un La descarga también es posible.

El atacante no requiere el acceso físico al dispositivo si el usuario final sigue las instrucciones (hostiles): no recibirán ningún mensaje de error si la vulnerabilidad se activa fácilmente.

score 0 · Answer 2

El exploit práctico es la capacidad de sustituir posteriormente un código diferente del firmado, ya sea de forma individual o al por mayor.

La capacidad de sustituir un código completamente diferente, sin cambiar la firma significa que la aplicación podría someterse a una revisión rigurosa y ser aprobada como una aplicación inofensiva o beneficiosa, pero la versión instalada ejecutaría un conjunto de código completamente diferente que nunca ha sido revisado. Sin embargo, la firma sería la misma, por lo que, en lo que respecta a Android, sigue siendo una aplicación confiable.

Peor aún, esto podría ser implantado en el dispositivo por cualquier persona con acceso físico sin un conocimiento especial. Por ejemplo, si el APK se almacenó en una tarjeta SD, la tarjeta SD podría extraerse, modificarse y reemplazarse en minutos. Pero en lo que respecta a Android, la firma es la misma, por lo que debe ser la misma aplicación.