Escrito por Kylie McRoberts, directora de programas y Alec Guertin, ingeniero de seguridad
El equipo de seguridad y privacidad de Android de Google ha lanzado la Iniciativa de vulnerabilidad de socios de Android (APVI) para gestionar problemas de seguridad específicos de los OEM de Android. El APVI está diseñado para ayudar en la reparación y brindar transparencia a los usuarios sobre los problemas que descubrimos en Google que afectan los modelos de dispositivos proporcionados por los socios de Android.
Otro nivel de seguridad
Android incorpora funciones de seguridad líderes en la industria y todos los días trabajamos con desarrolladores e implementadores de dispositivos para mantener la plataforma y el ecosistema de Android seguros. Como parte de este esfuerzo, contamos con una variedad de programas que permiten a los investigadores de seguridad informar los problemas de seguridad que han encontrado. Por ejemplo, puede informar vulnerabilidades en el código de Android a través del programa de recompensas de seguridad de Android (ASR) y vulnerabilidades en aplicaciones populares de Android de terceros a través del programa de recompensas de seguridad de Google Play. Google publica informes de ASR en código basado en proyectos de código abierto de Android (AOSP) a través de los boletines de seguridad de Android (ASB). Estos informes son problemas que podrían afectar a todos los dispositivos basados en Android. Todos los socios de Android deben adoptar los cambios de ASB para declarar el nivel de parche de seguridad de Android (SPL) del mes actual. Pero hasta hace poco, no teníamos una forma clara de solucionar los problemas de seguridad que Google descubrió fuera del código AOSP que son exclusivos de un conjunto mucho más pequeño de OEM específicos de Android. El APVI tiene como objetivo llenar este vacío agregando otra capa de seguridad a este conjunto específico de OEM de Android.
Mejora de la seguridad del dispositivo Android OEM
El APVI cubre problemas descubiertos por Google que podrían afectar la seguridad de un dispositivo Android o su usuario y está alineado con ISO / IEC 29147: 2018 Tecnología de la información – Técnicas de seguridad – Recomendaciones de divulgación de vulnerabilidades. La iniciativa cubre una amplia gama de problemas que afectan el código del dispositivo que no es atendido o mantenido por Google (estos son manejados por los boletines de seguridad de Android).
Protección del usuario de Android
APVI ya ha resuelto una serie de problemas de seguridad, mejorando la protección del usuario contra omisiones de autorización, ejecución de código del kernel, fugas de credenciales y generación de copias de seguridad no cifradas. A continuación se muestran algunos ejemplos de lo que descubrimos, el impacto y los esfuerzos de reparación del OEM.
Omisión de autorización
En algunas versiones de una solución de actualización inalámbrica (OTA) de terceros preinstalada, un servicio de sistema personalizado en el marco de Android expuso las API privilegiadas directamente a la aplicación OTA. El servicio se ejecutó como un usuario del sistema y no requirió ningún permiso de acceso, sino que verificó el conocimiento de una contraseña codificada. Las operaciones disponibles variaban entre las versiones, pero siempre permitían el acceso a las API sensibles, como la instalación / desinstalación silenciosa de APK, habilitar / deshabilitar aplicaciones y otorgar permisos a las aplicaciones. Este servicio ha aparecido en el código de muchas compilaciones de dispositivos en muchos OEM, sin embargo, no siempre se ha registrado o expuesto a aplicaciones. Hemos trabajado con los OEM afectados para informarles de este problema de seguridad y les proporcionamos orientación sobre cómo eliminar o deshabilitar el código afectado.
Pérdida de credenciales
Un popular navegador web preinstalado en muchos dispositivos incluía un administrador de contraseñas integrado para los sitios que visitaba el usuario. La interfaz para esta función se expuso a WebView mediante JavaScript cargado en el contexto de cada página web. Es posible que un sitio malicioso haya accedido a todo el contenido del almacén de credenciales del usuario. Las credenciales se cifran en reposo, pero utilizan un algoritmo débil (DES) y una clave codificada de forma rígida conocida. Este problema se ha informado al desarrollador y se han lanzado actualizaciones para los usuarios.
Aplicaciones sobreprivilegiadas
los checkUidPermission
método en PackageManagerService
La clase se ha cambiado en el código del marco de algunos dispositivos para permitir el acceso de permisos especiales a algunas aplicaciones. En una versión, el método otorgó a las aplicaciones el ID de usuario compartido com.google.uid.shared
cualquier permiso requerido y aplicaciones firmadas con la misma clave que el archivo com.google.android.gsf
empaque cualquier permiso en su manifiesto. Otra versión del cambio permitió que las aplicaciones que coincidían con una lista de nombres de paquetes y firmas pasaran las verificaciones de permisos en tiempo de ejecución incluso si el permiso no estaba en su manifiesto. Estos problemas fueron abordados por los OEM.
Más información
Esté atento a https://bugs.chromium.org/p/apvi/ para futuras divulgaciones de problemas de seguridad descubiertos por Google como parte de este programa o busque más información sobre problemas que ya se han divulgado.
Expresiones de gratitud: Scott Roberts, Shailesh Saini y Łukasz Siewierski, equipo de seguridad y privacidad de Android