MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
Publicado por Kylie McRoberts, gerente de programas y Alec Guertin, ingeniero de seguridad
El equipo de seguridad y privacidad de Android de Google ha lanzado la Iniciativa de vulnerabilidad de socios de Android (APVI) para administrar problemas de seguridad específicos de los OEM de Android. El APVI está diseñado para ayudar en la reparación y brindar transparencia a los usuarios sobre los problemas que descubrimos en Google que afectan los modelos de dispositivos proporcionados por los socios de Android.
Otro nivel de seguridad
Android incorpora funciones de seguridad líderes en la industria y todos los días trabajamos con desarrolladores e implementadores de dispositivos para mantener la plataforma y el ecosistema de Android seguros. Como parte de este esfuerzo, contamos con una variedad de programas que permiten a los investigadores de seguridad informar los problemas de seguridad que han encontrado. Por ejemplo, puede informar vulnerabilidades en el código de Android a través del programa de recompensas de seguridad de Android (ASR) y vulnerabilidades en aplicaciones populares de Android de terceros a través del programa de recompensas de seguridad de Google Play. Google publica informes de ASR en código basado en el Proyecto de código abierto de Android (AOSP) a través de los Boletines de seguridad de Android (ASB). Estos informes son problemas que podrían afectar a todos los dispositivos basados en Android. Todos los socios de Android deben adoptar los cambios de ASB para declarar el nivel de parche de seguridad de Android (SPL) del mes actual. Pero hasta hace poco, no teníamos una forma clara de resolver los problemas de seguridad que Google descubrió fuera del código AOSP que son exclusivos de un conjunto mucho más pequeño de OEM específicos de Android. El APVI tiene como objetivo llenar este vacío agregando otra capa de seguridad a este conjunto específico de OEM de Android.
Mejora de la seguridad del dispositivo Android OEM
El APVI cubre problemas descubiertos por Google que podrían afectar potencialmente la ubicación de seguridad de un dispositivo Android o su usuario y está alineado con ISO / IEC 29147: 2018 Tecnología de la información – Técnicas de seguridad – Recomendaciones sobre divulgación de vulnerabilidades. La iniciativa cubre una amplia gama de problemas que afectan el código del dispositivo que no es atendido o mantenido por Google (estos son manejados por los boletines de seguridad de Android).
Protección de los usuarios de Android
APVI ya ha resuelto una serie de problemas de seguridad, mejorando la protección del usuario contra omisiones de permisos, ejecución de código del kernel, filtraciones de credenciales y generación de copias de seguridad. sin encriptar. A continuación se muestran algunos ejemplos de lo que hemos descubierto, el impacto y los esfuerzos de reparación del OEM.
Omisión de permisos
En algunas versiones de una solución de actualización inalámbrica (OTA) de terceros preinstalada, un servicio de sistema personalizado en el marco de Android expuso las API privilegiadas directamente a la aplicación OTA. El servicio se ejecutó como un usuario del sistema y no requirió ningún permiso de acceso, sino que verificó el conocimiento de una contraseña codificada. Las operaciones disponibles variaban según la versión, pero siempre permitían el acceso a las API sensibles, como la instalación / desinstalación silenciosa de APK, la habilitación / inhabilitación de aplicaciones y la concesión de permisos de aplicaciones. Este servicio ha aparecido en el código de muchas compilaciones de dispositivos en muchos OEM, sin embargo, no siempre se ha registrado o expuesto a aplicaciones. Hemos trabajado con los OEM afectados para notificarles sobre este problema de seguridad y les hemos proporcionado orientación sobre cómo eliminar o deshabilitar el código afectado.
Credential Leak
Un popular navegador web preinstalado en muchos dispositivos incluía un administrador de contraseñas integrado para los sitios visitados por el usuario. La interfaz para esta función ha sido expuesta a WebView a través de JavaScript cargado en el contexto de cada página web. Un sitio malintencionado puede haber accedido a todo el contenido del almacén de credenciales del usuario. Las credenciales se cifran en reposo, pero utilizan un algoritmo débil (DES) y una clave codificada de forma rígida conocida. Se informó al desarrollador de este problema y los usuarios recibieron actualizaciones de la aplicación.
Aplicaciones con exceso de privilegios
El método checkUidPermission en la clase PackageManagerService se ha cambiado en el código de marco de algunos dispositivos para permitir el acceso con permisos especiales a algunos dispositivos aplicación. En una versión, el método otorgó a las aplicaciones con el ID de usuario compartido com.google.uid.shared los permisos necesarios y las aplicaciones firmadas con la misma clave que com.google.android .gsf empaquetan los permisos en su manifiesto. Otra versión del cambio permitió que las aplicaciones que coincidían con una lista de nombres de paquetes y firmas pasaran las verificaciones de permisos en tiempo de ejecución incluso si el permiso no estaba en su manifiesto. Estos problemas fueron abordados por los OEM.
Más información
Esté atento a https://bugs.chromium.org/p/apvi/ para futuras divulgaciones de problemas de seguridad descubiertos por Google como parte de este programa, o busque más información sobre problemas que son ya ha sido divulgado.
Agradecimientos: Scott Roberts, Shailesh Saini y Łukasz Siewierski, equipo de seguridad y privacidad de Android
