מומחי אבטחה בקבוצת Application Security של יבמ, הפועלת במסגרת מעבדת התוכנה של יבמ בישראל, איתרו פרצת אבטחה בשירות הצפנה במערכת ההפעלה אנדרואיד, והובילו לתיקונה. הקבוצה מפתחת את AppScan, אפליקציה לסריקות ובדיקות אבטחת מידע, במהלך כל שלבי הפיתוח של יישומי Web ומובייל.
לפני כעשרה חודשים, זיהה צוות בראשותו של רועי חי כי שירות KeyStore, אותו מנהלת מערכת ההפעלה, והעוסק בפרטים אישיים של המשתמש - חשוף לאיום המוכר כ"גלישת חוצץ" (Buffer Overflow - BO). הבעיה, שהתגלתה בקוד של שירות זה, יצרה מצב של פגיעות ואפשרות להאקרים לגנוב סיסמאות ושאר מידע סודי מהמכשיר הנייד.
על-פי המדיניות הנהוגה ביבמ, דיווח הצוות תחילה על הפרצה לאנשי צוות האבטחה של אנדרואיד. כתוצאה מכך, פותח טלאי אבטחה מיוחד, הכלול במהדורה החדשה של מערכת ההפעלה, המוכרת כקיטקט. בשל אופי שחרור העידכונים למערכת ההפעלה, וסוג הסיכונים הגלומים בפרצה, החליטו ביבמ להמתין זמן נוסף לפני החשיפה הציבורית המלאה של הגילוי.
יישום זדוני אנדרואיד מספקת שירות אחסון מאובטח ומוצפן. כל משתמש באנדרואיד מקבל אזור אחסון מאובטח משלו: החומר המאוחסן מוצפן בעזרת מפתח מאסטר הנוצר באופן אקראי. האחרון גם הוא מוצפן על הדיסק, בעזרת מפתח הנגזר מסיסמת מסך הנעילה.
בגרסאות עדכניות של אנדרואיד, ניתן לבצע גיבוי חומרה למפתחות דוגמת המפתח הפרטי בפרוטוקול RSA. כך, משמש מפתח האחסון המנוהל ברמת מערכת ההפעלה רק לצורך זיהוי המפתח המגובה על גבי החומרה. למרות תמיכת החומרה, מידע מסוים, דוגמת הרשאות הכניסה לרשת תקשורת פרטית וירטואלית (VPN) מסוג PPTP, עודנו מאוחסן על גבי הדיסק.
בתהליך הכתיבה וההצפנה של KeyStore, נוצר מאגר (Buffer) אליו יכולים לכתוב גם יישומים אחרים. כך, עלול גם צד שלישי בלתי מורשה לשלוט בשם מפתח ההצפנה אשר נכתב על ה-Buffer, ולגרום ל-Overflow, אשר יכול, באופן תיאורטי, לאפשר לצד השלישי להריץ קוד בתוך התהליך של KeyStore.
הפרצה עלולה להיות מנוצלת על-ידי יישום זדוני, בתנאי שמפתחיו ידעו להתגבר גם על מספר הגנות ומכשולים נוספים.
במידה והתקיפה הצליחה, ניתן בין השאר לגנוב את סיסמת הנעילה של המסך, לפענח מידע מוצפן על גבי הדיסק בעזרת מפתחות הנשלפים לצורך העבודה השוטפת ומנוהלים בזיכרון הפנימי של המערכת, ולחתום בעזרת המפתח הפרטי של המשתמש על מידע שרירותי.
הפרצה אותה זיהו מומחי יבמ קיימת בכל גרסאות אנדרואיד מ-4.3 ומטה (כ-86% מכלל המכשירים, נכון להיום) לאחר הצגת הבעיה, שוחרר בנובמבר אשתקד עידכון תוכנה על-ידי צוות האבטחה של אנדרואיד. המהדורה החדשה של מערכת ההפעלה, 4.4 (המוכרת בשם הקוד קיטקט), כבר אינה פגיעה לאיומי פרצה זו.
