El trabajo de Tamir es otro ejemplo de por qué zLabs es reconocida como la colección de investigadores más calificada y talentosa del mundo centrada 100% exclusivamente en dispositivos móviles
Aquí está el resumen de la sesión de Tamir. Además, puede ver la grabación de la sesión o descargue sus diapositivas aquí: BSidesLV Talk – Treble or Trouble.
Agudos o problemas: dónde ayudan las últimas mejoras de seguridad de Android y dónde fallan.
En el mundo de la seguridad actual, se entiende bien que es imposible eliminar todos los errores. Por eso, para limitar las vulnerabilidades, se introducen mejoras de seguridad como una línea de defensa adicional. Las superficies de ataque se reducen y se agregan mitigaciones para dificultar la explotación. Este es un enfoque que Google utiliza bien en Android. Agregan más mejoras de seguridad en cada versión principal de Android, incluido Project Treble, recientemente agregado en Android 8.
Decidimos profundizar en Project Treble y examinar qué tan beneficioso para la seguridad es realmente. Durante nuestra investigación, encontramos una vulnerabilidad muy peligrosa en áreas relacionadas con el Proyecto Treble. Project Treble no solo no hizo nada para prevenir esta vulnerabilidad, sino que en realidad fue la razón por la que se introdujo.
En esta charla repasaremos el funcionamiento interno de Project Treble. Veremos la refactorización por la que pasaron los servicios de Android y señalaremos múltiples problemas con ella. También cubriremos los detalles de la vulnerabilidad que encontramos y su impacto. Descubrimos que si bien Google estaba ansioso por anunciar una nueva mejora con un nombre llamativo, su implementación se descuidó un poco.
Relacionado:
Pradeo te ayuda a recuperar el control sobre la seguridad
La perspectiva de un desarrollador sobre las reglas de seguridad de las aplicaciones móviles
