Android Master Key Güvenlik Açığı – POC

Android üzerinde yeni keşfedilen master key (ana anahtar) güvenlik açığı Android ekibi ve diğer yetkililer tarafından kaygıyla karşılandı.Bu güvenlik açığı dijital imzaları geçersiz kılmadan Android uygulamaları içerisine kötü niyetli kodları enjekte etmeyi sağlıyor.Bu açıktan yararlanmak bilgisayar korsanları ve saldırganlar için çok kolay.Şu anda uygulama marketindeki uygulamalarda bu güvenlik açığından yararlananlar vardır.Bu açık 2013 Blackhat Konferansında açıklandı fakat bazı araştırmacılar bunu konferanstan bir hafta önce yayınlamayı başardı.O yüzden sorun ne,nasıl istismar ediliyor ve bunu düzeltmek için yapılması gerekenlere bakalım.

Android Kod Çalıştırma İmzalı mı ?

Android uygulamalarının APK dosyaları bulunur yani zip arşivi koleksiyonlarıda diyebiliriz.Kolay anlaşılması için APK dosyamızı uygulama ve aynılarını bulmak için açıyoruz. Uygulama olarak benim sertifikayla imzalanmış MyFirstApp.apk’yı düşünelim.İmza süreci hakkında konuşmadan önce temel sorunu anlamak için devam edelim. Android’lerde yüklü tüm uygulamaların dijital olan anahtarları geliştiricileri tarafından düzenlenen bir sertifikayla imzalanmış olması gerekir.Neden kod parçası imzalamak istersiniz .Temel olarak iki neden – özgürlük ve bütünlük.Herhangi bir uygulama yüklemeden önce, uygulamanın tahrif olmadığından ve bunun doğru kişi tarafından oluşturulduğundan emin olmak istiyorum.Android sistemi bir uygulamanın yazarının belirlenmesi ve uygulamalar arasında güven ilişkileri kurmak için sertifika kullanır.Android sistemi imzalanmamış bir uygulama yüklemez veya çalıştırmaz.Yani kurma ve uygulama sonrası bir sertifikayla imzalar.Ve temel olarak sonunda APK dosyası var.

MyFirstApp.apk

MyFirstApp.apk basit bir uygulama ve emülatöre yüklü gibi gözüküyor.

APK dosyalarının başka bir zip koleksiyonu vardır.Bir .Apk dosyasını .zip olarak yeniden adlandırırsanız dosyanın içeriğini görmek mümkün olacak.

Gördüğünüz gibi APK dosyası paketin diğer tüm dosyalar için sağladığı imzaları içeren alt dizin META-INF oluşur.Ana bilim dosyası (manifest.mf) arşiv dosya ve her dosyanın özet değeri girişlerini bulundurur.Bu pakette herhangi bir dosyayı değiştirseniz, Android zararlı faaliyet kurulumunu engellemek için paket kurulumunu engeller.Android doğrulamayı sağlayarak yapar.Bu dosyalarının herbirinin doğrulamasını sağlamak amacıyla Android APK arşivi bu dosyaların her birini ayıklamak zorundadır.

Şimdi bu dosyalardan herhangi birini değiştirmeyi deneyelim;Örneğin,Görüntü dosyası içerisindeki MyFirstApp.zip\res\drawable-hdpi klasörde değişikliğe başlama,yenileme,adb kullanarak cihaza yükleme ve göreceksiniz haklı olarak Android bu mesajı gösterecek.

Saldırı Nasıl Başarılı mı ?

Güvenlik açıgı ,Android uygulama doğrulama ve sömürülmesine dayanmaktadır.Şifreleme imzası değiştirmeden uygulamaya kod eklemeye yardımcı olur.Saldırı başarıyla doğrulama işlemini atlar ve herhanni bir değişiklik yaparak ekldiği kodu uygulamayla beraber yükler.Saldırı APK arşivdeki aynı adı taşıyan iki farklı dosya yerleştirme kavramına dayanmaktadır.Güvenli ZIP yazılımları bir arşivde aynı isime sahip iki dosya için izin vermez.Ama ZIP formatının kendisi dosya çoğaltmayı engellemez ve aşağıda gösterildiği gibi aynı dosyayla arşiv oluştururken yararlanabilirsiniz. ic_launcher.png mevcut dosyaya eklediğiniz birşey ve Hacked File.zip adlı yeni bir APK oluşturulur.

Şimdi hackedfile.apk dosyasını yeniden adlandırıp yeniden yüklemeyi deniyoruz ve göreceksiniz ki Android bu sefer kabul edecek.Bu herhangi bir şikayet olmaksızın başarıyla çalışır.Başarıyla başlatılmış görüntüyü herhangi bir sertifika kullanmayıp ve android aynısını kabul ederek değiştirmenin mümkün olduğunu unutma

Bu nasıl mümkün ?

Bu mümkündür çünkü Android arşivdeki herhangi bir dosyanın ilk sürümünü doğrular ancak dosyanın en son sürümünü yükleyici doğrular ve ayıklar.Böylece dosya meşru bir şifreleme doğrulayıcı tarafından kontrol edilir ve hacker tarafından eklenen yükleyici tarafından yüklenir.Basit olarak sahte bir kurulum olur ama imza için doğrulanmış geçerli bir parçadır.

Etkileri Nelerdir ?

Etkileri çok büyüktür.Unutulmaması gereken en önemli şey ise Android’in hemen hemen tüm sürümleri bu saldırıya karşı savunmasız olmasıdır. Bu güvenlik açığının etkisi ve sömürülmesi sadece bir hackerın hayal gücüyle sınırlıdır.Örneğin iletişim üzerinde casus olabilir veya bir adım daha ileriye gidip kullanıcının bilgisi olmadan SMS gönderebilir, arka plan araması yapabilir, fotoğraf çekebilir ve ileti olarak gönderebilir vs.Telefon ile beraber yüklü olarak gelen bazı uygulamalar Play Store üzerinden gelen diğer uygulamalara göre bazı yüksek ayrıcalıklara sahip olabilirler. Bu nedenle saldırgan sistem üzerinde yüklü olarak gelen uygulamalardan yararlanmak isteyebilir ve sistem düzeyinde ayrıcalıklara sahip uygulamalar oluşturabilir. Bir Truva uygulaması cihaz uygulamsı olarak yüklenip tüm android sistem uygulamalarına ve verilerine erişebilir.Bir saldırgan her zaman internete bağlı cep telefonuyla botnet oluşturabilir. Bluebox ekibi bunu başarıyla gösterdi.

Symentech araştırmacıları bu hatanın üçüncü taraf sitelerindeki popüler oyunlar üzerinde saldırganlar tarafından kötü bir şekilde kullanıldıgını keşfettmişlerdi.Google bunun için yama yayınladı fakat tüm telefon üreticilerinin kendi modelleri için güncellemesi zaman alacaktır.Google şimdi master key açıgını kontrol etmek için Play Store üzerindeki tüm uygulamaları denetliyor.Ama diğer üçüncü taraf mağaza ve yüklenen uygulamaları kontrol edecek gibi değil.

Kullancılar Nasıl Önlemler Almalı ?

1-) Sadece Play Store üzerinden uygulama indirmeli hatta indirilen uygulamanın yazarını doğrulama açısından kontrol edilmelidir.Güvenilir olmayan kaynaklardan yada diğer Android mağazalarından uygulamaları yüklemeyin.Kısaca yüklemeden önce uygulamanın yayınlacısından emin olun.

2-) Google’ın bunun için yayınlamış oldugu yama bulunmaktadır.Cep telefonunuzun en son yamayla güncellendiğinden emin olun.

Bunların dısında Play Store’daki “Blue box Security Scanner” uygulaması cihazınızı tarar ve bu güvenlik açığından olup olmadıgına bakar.Programdan bir görüntü var burada :

Video

Pratik olarak yapılabilirliği gösterilmiştir.