3.10.2018 12:05 | Rozhovory

Top Neverte právam aplikácií v Androide, radí expert. Prezradil prečo

ikona android bezpecnost
Jednu z potenciálne nebezpečných funkcií Androidu popisuje Google ako vlastnosť. Zdroj: redakcia

Rozhovor: Požičali ste mobil manželke? Môže vás ľahko odpočúvať.

Operačný systém Android od Googlu je na trhu už 10 rokov. Za ten čas doň vývojári natlačili toľko nových funkcií, že sa naše smartfóny premenili na akúsi vreckovú kanceláriu.

A hoci sa posledné roky nesú v znamení čoraz väčšej precitlivenosti ohľadom súkromia používateľov, niektoré funkcie najpopulárnejšej mobilnej platformy to vôbec nezohľadňujú. O to nebezpečnejšie je to vtedy, keď podobná funkcia obsahuje napríklad nelogickú vec, ktorú ale Google považuje za vlastnosť, alebo dokonca nezaplátanú bezpečnostnú chybu.

Aj o takom prípade sme sa na bezpečnostnej konferencii HackerFest 2018 rozprávali s českým odborníkom v oblasti penetračného testovania webových aplikácií Romanom Kümmelom.

Keď niečo nejde, ako má

Hovorili ste o nebezpečných vlastnostiach Androidu, ktoré umožňujú mobilným aplikáciám, aby využívali oprávnenia bez ich vyžiadania. Môžete bližšie popísať, o čo ide?

Za istých okolností dokážu aplikácie v Androide zdieľať jeden používateľský účet systému Android a tým pádom môžu vzájomne pristupovať k svojim dátam, pamäti... a dokážu zdieľať svoje oprávnenia.

Keď teda máte jednu aplikáciu, ktorá vyžaduje isté oprávnenia, a druhú, ktorá nevyžaduje žiadne, tak tá druhá môže v tichosti prevziať oprávnenia od prvej aplikácie?

Áno. Keď ale aplikáciu s oprávneniami odinštalujete, tá druhá o ne príde. Je pozoruhodné, že to nie je označené ako chyba, ale je to popísaná vlastnosť Androidu.

Požičia si jeho smartfón a potom nechá manžela, nech si nainštaluje nejakú nevinnú aplikáciu
Roman Kümmel popisuje časť útoku, po ktorom možno odpočúvať

Funguje útok aj pokiaľ má človek prístup k telefónu, avšak len k inému používateľskému účtu, než je účet obete?

Áno, pokiaľ sa o svoje zariadenie delí s ďalšími používateľmi, je možné vytvoriť ešte oveľa efektívnejší útok.

Napríklad ak chce manželka sledovať manžela, s ktorým spoločne zdieľa jedno zariadenie. Priala by si ho odpočúvať cez mikrofón. Požičia si teda jeho smartfón, pod svojím účtom si nainštaluje aplikáciu s oprávneniami a nechá manžela, nech si na svojom účte nainštaluje nejakú „nevinnú“ aplikáciu. Ten pri nej opäť žiadne oprávnenia neuvidí a napriek tomu ho žena bude môcť odpočúvať. V tomto prípade sa dá útok previesť len za pomoci zdokumentovaných vlastností Androidu, bez zneužívania akýchkoľvek chýb.

Z prednášky vyplývalo, že na pre zneužitie musia byť obe aplikácie z rovnakej dielne, musí ich teda naprogramovať jeden človek a prinútiť používateľa, aby si ich obe nainštaloval, správne?

Presne tak. Obe musia byť podpísané rovnakým kľúčom – od jedného autora. Nedá sa teda vydávať za systémovú aplikáciu a preberať od nej oprávnenia. V zozname nainštalovaných aplikácií tak pôjde vždy vidieť, že jedna z aplikácií oprávnenie vyžaduje. U tej druhej však tieto oprávnenia, ktoré môže aplikácia využívať, nikde neuvidíte.

Na záver vašej prednášky ste uviedli, že ste objavili chybu, o ktorej Google zatiaľ netušil. Môžete nám prezradiť podrobnosti?

Keď som si pripravoval svoju prednášku o nebezpečných vlastnostiach Androidu, zistil som, že sa mi nedopatrením podarilo vytvoriť niečo, čo sa správa úplne neštandardne. Po ďalšom skúmaní som prišiel na to, že ide o pomerne zaujímavú chybu, ktorá má mnoho možností zneužitia, a Google o nej v súčasnej dobe naozaj nevie. V tejto chvíli nemôžem povedať, čoho presne sa nájdená chyba týka a ako sa dá zneužiť.

Poznámka: Na konferencii Hackerfest 21. septembra R. Kümmel spresnil, že chyba sa týka práv aplikácií a umožňuje dosiahnuť stav, kedy práva zostanú druhej aplikácii aj po zmazaní prvej bez toho, aby to bolo vidieť. Detaily neuviedol.


Kto je Roman Kümmel?

Bezpečnostný konzultant zameriavajúci sa na penetračné testovanie webových aplikácií s viac než 15-ročnou praxou.

V oblasti webových aplikácií je zároveň aj lektorom a medzi jeho odbornú publikačnú činnosť patrí aj kniha „XSS: Cross-Site Scripting v praxi“.


Ako budete postupovať ďalej?

Určite ma teraz láka bug bounty od Googlu [program hľadania chýb vývojármi tretích strán a etickými hackermi]. Výška odmeny v ňom sa pohybuje podľa závažnosti. Najmenej kritické zraniteľnosti sa spravidla hodnotia 200 – 300 dolármi, pri najzávažnejších je to pokojne aj 170-tisíc dolárov. Pri mnou odhalenej chybe treba spoluúčasť obete alebo fyzický prístup k zariadeniu, takže pôjde o menšiu sumu.

Čo ma ale celkom „dostalo“, je, že podľa podmienok bug bounty si Google praje poslať kompletný report vrátane úryvku zo zdrojového kódu Androidu s označeným riadkom, kde sa chyba vyskytuje.

Som vo fáze, že síce viem o chybe, no vôbec netuším, kde sa v ich kóde nachádza. Musel by som teda krokovať samotný beh systému Android, aby som si zistil podrobnosti. Neviem, či si na to nájdem dostatok času, takže to pravdepodobne oznámim bez tohto detailu. A keď nie je report kompletný, odmeny nie sú veľké.

„Predstavte si, keby boli používatelia na každom kroku informovaní, ako útočníci môžu špehovať ich telefón bez viditeľných stôp.“
Roman Kümmel

Nehovorí sa o tom. Pre pokoj ľudí

Čím to je, že o týchto vlastnostiach veľa ľudí nevie, a vy odborníci o tom viac nehovoríte?

Buďte radi. Predstavte si, keby boli používatelia na každom kroku informovaní, ako útočníci môžu špehovať ich telefón bez viditeľných stôp. Rýchlo by sa dostali na určitú úroveň paranoje, zahodili by smartfóny a vrátili by sa k tým klasickým.

Nie je ale cieľom mať v telefóne nejaké bezpečnostné riešenie, ktoré väčšina používateľov stále nemá?

Čo sa týka tých veľkých známych zraniteľností, ktoré nie sú opravené, tak áno. V tomto prípade tam bezpečnostné programy implementujú nejaké obranné funkcie, aby to ošetrili – namiesto samotného Androidu.

Ak však ide o zero-day zraniteľnosť [chyba, ktorá nie je všeobecne známa a neexistuje pre ňu záplata], môže byť do bezpečnostných mechanizmov zakomponovaná iba ťažko.

„Moja rada by bola – vráťte sa k „hlúpym“ telefónom. Nechcem však brzdiť vývoj.“
Roman Kümmel

Jedného dňa ale môže byť doménou antivírusových riešení, že nájdu vzťahy medzi aplikáciami a zistia, ktoré možnosti systému reálne využívajú.

Čo sa týka popisovaných vlastností Androidu, určite by si s tým antivírusové programy dokázali poradiť a mohli by ochrániť používateľa pred zdieľaním oprávnení medzi aplikáciami. Antivírusy ale nie sú všeliekom. Nečakajme teda, že nás nejaké skvelé antivírusové riešenie zachráni pred všetkým. Neexistuje systém, ktorý je na 100 percent bezpečný, útočníci si vždy nájdu cestu.

Ako sa chrániť?

Vaša rada teda znie nehovoriť nič citlivé v okolí telefónu alebo ho mať ďaleko od seba, zatvorený v skrini?

Už som to naznačil, moja rada by bola – vráťte sa k „hlúpym“ telefónom. Nechcem však brzdiť vývoj, takže: správajte sa k zariadeniam tak, ako by ste v ňom mali niekoho iného. Vyložene citlivé dáta teda do telefónu ukladať neodporúčam. Ako ste správne spomenuli, pri citlivých rozhovoroch by ste telefón pri sebe mať nemali.

Ako je na tom bezpečnosť iOS? Skúmate ju nejakým spôsobom?

Odborníkom na iOS rozhodne nie som. Je to uzavretý systém, útočníci sa v ňom nemôžu „vŕtať“ tak, ako v prípade Androidu. Ale nie je pravda, že keď mám zariadenie s iOS, som v bezpečí. Keď si pozriete štatistiku, koľko zraniteľností bolo nájdených pre ktoré systémy v daných rokoch, iOS jednoducho nie je bezchybný. Vďaka uzavretosti je však bezpečnejší.

Na článku spolupracoval Martin Hodás.

Diskusia 17 Príspevkov